Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.02.2013, 09:14   #1
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Habe mir vor etwa zwei Wochen den GVU-Trojaner mit Webcam gefangen. Auf welcher Seite weiss ich nicht genau, habe verschiedene Links auf einer Seite nacheinander durchgeklickt.

Mehrere User sind auf dem Rechner vorhanden, aber nur einer von denen hat Administrator-Rechte. Natürlich ist genau dieser User betroffen. Somit ist der Trojaner wohl in einem Bereich, den die anderen noch funktionierenden User nicht erreichen können.

Gestern hatte ich endlich Zeit und habe einen ersten Rettungsversuch mit Kaspersky Rescue Disk 10 gemacht. Laut dem genannten Programm erfolgreich, aber wenn ich mich als "Besitzer"=Administrator anmelde, kommt unter Windows XP nach wenigen Sekunden der Bildschirm des GVU-Trojaners.

Da ich hier ein anderes Posting gelesen habe (Hilfe2013, 08.02.2013), habe ich nun bereits mit OTLPE einen Scan durchgeführt. Die Datei Extras.txt wurde nicht erstellt, die Datei OTL.txt ist laut Forum mit 1,75 MB zu groß zum Hochladen

Vom Befolgen der identischen weiteren Schritte wird dort dringend abgeraten, weshalb ich hier nun hoffe eine für meinen Rechner passende Hilfe zu bekommen.

Schöne Grüße,

Michael

Alt 25.02.2013, 11:00   #2
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam





Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Prüfe bitte ob du abgesichert booten kannst, ohne dass der Sperrschirm kommt.

So funktioniert es:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.



Geht notfalls abgesichert mit Eingabeaufforderung?
__________________

__________________

Alt 25.02.2013, 11:16   #3
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Hallo ryder,

habe das XP im abgesicherten Modus gestartet. Hier habe ich plötzlich zwei User.
- Administrator
- Besitzer (mein eigentlicher Administrator)

Bisher kein Sperrbildschirm. Welchen der beiden soll ich einloggen?

Gruß,
Michael
__________________

Alt 25.02.2013, 11:23   #4
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Spielt keine wesentliche Rolle. Einfach mal schauen ob das möglich ist, ohne Sperre.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 25.02.2013, 11:29   #5
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Habe "Besitzer" im abgesicherten Modus angemeldet.

Sperrbildschirm erscheint.

Danach Reset gedückt und rechner erneut im abgesicherten Modus hochgefahren.

"Administrator" im abgesicherten Modus angemeldet.

Es erscheint KEIN Sperrbildschirm. So steht der Rechner jetzt vor mir.


Alt 25.02.2013, 13:23   #6
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Sehr gut, dann machen wir das mal so:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
--> Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam

Alt 25.02.2013, 14:52   #7
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Combofix hat gearbeitet, Avira (freie Version ist installiert) war im abgesicherten Modus nicht gestartet.

Einen Neustart hat das System nach combofix nicht gehabt.

Hier das Logfile combofix.txt

Code:
ATTFilter
ComboFix 13-02-24.01 - Administrator 25.02.2013  15:40:04.1.2 - x86 NETWORK
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\4649811.js
c:\dokumente und einstellungen\All Users\Anwendungsdaten\4649811.pad
c:\windows\IsUn0407.exe
c:\windows\system32\tmp20.tmp
c:\windows\system32\tmp21.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-25 bis 2013-02-25  ))))))))))))))))))))))))))))))
.
.
2013-02-25 11:28 . 2013-02-25 13:45	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-23 13:36 . 2013-02-23 19:01	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-01 10:39 . 2013-02-01 10:39	--------	d-----w-	c:\programme\Mozilla Thunderbird
2013-01-31 21:03 . 2007-09-07 16:33	135168	----a-w-	c:\windows\system32\EEBAPI.dll
2013-01-31 21:03 . 2007-03-28 17:26	65536	----a-w-	c:\windows\system32\EEBUtil.dll
2013-01-31 21:03 . 2006-12-19 17:31	110592	----a-w-	c:\windows\system32\EEBDSCVR.dll
2013-01-31 21:03 . 2006-12-19 17:20	77824	----a-w-	c:\windows\system32\EBAPI.dll
2013-01-31 21:03 . 2003-12-17 00:01	55808	----a-w-	c:\windows\system32\EEBSDKIF.dll
2013-01-31 21:00 . 2007-04-10 01:06	8192	----a-w-	c:\windows\system32\E_DCINST.DLL
2013-01-31 21:00 . 2009-10-01 03:01	63488	----a-w-	c:\windows\system32\E_FD4BHLE.DLL
2013-01-31 21:00 . 2008-11-12 03:00	93696	----a-w-	c:\windows\system32\E_FLBHLE.DLL
2013-01-31 20:47 . 2013-01-31 20:50	--------	d-----w-	c:\programme\ABBYY FineReader 9.0 Sprint
2013-01-31 20:47 . 2013-01-31 20:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\ABBYY
2013-01-31 20:47 . 2013-01-31 20:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ABBYY
2013-01-31 20:46 . 2013-01-31 20:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2013-01-31 20:45 . 2013-01-31 20:45	--------	d-----w-	C:\Program Files
2013-01-31 20:44 . 2013-02-01 10:36	--------	d-----w-	c:\programme\Epson Software
2013-01-31 20:44 . 2013-01-31 20:44	--------	d-----w-	c:\programme\EpsonNet
2013-01-31 20:44 . 2011-08-30 12:39	457780	----a-w-	c:\windows\system32\ensppui.dll
2013-01-31 20:44 . 2011-08-30 12:39	457780	----a-w-	c:\windows\system32\enppui.dll
2013-01-31 20:44 . 2011-08-30 12:38	475496	----a-w-	c:\windows\system32\ensppmon.dll
2013-01-31 20:44 . 2011-08-30 12:38	475496	----a-w-	c:\windows\system32\enppmon.dll
2013-01-31 20:44 . 2011-08-01 17:24	249344	----a-w-	c:\windows\system32\enspres.dll
2013-01-31 20:44 . 2011-08-01 17:24	249344	----a-w-	c:\windows\system32\enpres.dll
2013-01-31 20:43 . 2013-01-31 21:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\EPSON
2013-01-31 20:43 . 2013-01-31 21:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2013-01-31 20:43 . 2009-10-15 23:00	132560	----a-w-	c:\windows\system32\esdevapp.exe
2013-01-31 20:43 . 2009-10-15 23:00	12800	----a-w-	c:\windows\system32\escdev.dll
2013-01-31 20:43 . 2009-09-16 23:00	342016	----a-w-	c:\windows\system32\eswiaud.dll
2013-01-31 20:43 . 2013-02-01 10:36	--------	d-----w-	c:\programme\epson
2013-01-31 20:02 . 2013-01-31 20:02	--------	d-----w-	c:\programme\WinPcap
2013-01-31 20:02 . 2013-01-31 20:02	--------	d-----w-	c:\programme\FRITZ!Powerline
2013-01-31 13:09 . 2013-01-31 13:09	--------	d-----w-	c:\windows\Sun
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-11 06:24 . 2012-07-02 05:43	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-11 06:24 . 2012-07-02 05:43	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-26 03:55 . 2004-08-04 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2004-08-04 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2004-08-04 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2004-08-04 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2004-08-04 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2004-09-29 18:47	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-06 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2009-07-06 1848648]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-11 722256]
"RTHDCPL"="RTHDCPL.EXE" [2011-07-21 20055144]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-05-06 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-05-06 182552]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-05-06 166680]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-21 348664]
"emMON"="emMON.exe" [2006-05-30 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-02 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BrowserChoice"="c:\windows\system32\browserchoice.exe" [2010-02-12 293376]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Dokumente und Einstellungen\\Anja\\Lokale Einstellungen\\Apps\\2.0\\7OQWDA9L.6R3\\5JEAEAPR.V39\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael\\Lokale Einstellungen\\Apps\\2.0\\DNKTCVCZ.Z6G\\KB07WO14.B63\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [x]
R2 ACEDRV09;ACEDRV09; [x]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [x]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [x]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [x]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [x]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [x]
R3 avmaudio;AVM Audio;c:\windows\system32\DRIVERS\avmaudio.sys [x]
R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [x]
R3 FXDrv32;FXDrv32;D:\FXDrv32.sys [x]
R3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
R3 MSHUSBVideo;NX6000/NX3000/VX5000/VX5500/VX2000/VX7000 Filter Driver;c:\windows\system32\Drivers\nx6000.sys [x]
S1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [x]
S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]
S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]
S3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1c51x86.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv	REG_MULTI_SZ   	Tapisrv
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-02 06:24]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-EPSON SX235 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FINSHLE.EXE
AddRemove-Office8.0 - c:\programme\Microsoft Office\Office\Setup\Acme.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-25 15:43
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2013-02-25  15:44:17
ComboFix-quarantined-files.txt  2013-02-25 14:44
.
Vor Suchlauf: 15 Verzeichnis(se), 40.193.761.280 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 40.554.983.424 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 16C1B5E0234180B01946AF6FFE4C78CD
         

Alt 25.02.2013, 15:09   #8
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Sehr schön, dann mal weiter:

Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 25.02.2013, 16:03   #9
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Habe den Scan wie vorgegeben zwei mal laufen lassen.
Der zweite Lauf endete mit dem positiven Ergebnis, dass keine Malware gefunden wurde.

Füge beide Logfiles ein.

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.25.06

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrator :: BUERO-PC-MZ [administrator]

25.02.2013 16:38:40
mbar-log-2013-02-25 (16-38-40).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25833
Time elapsed: 8 minute(s), 53 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\MyFunCards_5mEI (Adware.MyFunCards) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
c:\Dokumente und Einstellungen\Besitzer\1189464.dll (Trojan.FakeMS) -> Delete on reboot.
c:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.

(end)
         
Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.25.06

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrator :: BUERO-PC-MZ [administrator]

25.02.2013 16:55:19
mbar-log-2013-02-25 (16-55-19).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25828
Time elapsed: 10 minute(s), 1 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Alt 25.02.2013, 16:49   #10
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Sehr gut, dann melde dich mal wieder mit dem infizierten Benutzer an und schau ob alles okay ist und dann gehts weiter.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 25.02.2013, 18:22   #11
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Habe im abgesicherten Modus den Benutzer gewechselt.
Der Sperrbildschirm kam nicht mehr. Somit schon ein Riesenschritt nach vorne.

Im normalen Modus habe ich es noch nicht probiert.

Alt 25.02.2013, 18:41   #12
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Normaler Modus


Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.
Schritt 4:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 26.02.2013, 05:39   #13
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Hat leider über die Nacht gedauert, die Punkte alle abzuarbeiten.

Hier nun die beiden Log-Files:

Code:
ATTFilter
# AdwCleaner v2.113 - Datei am 25/02/2013 um 20:09:17 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - BUERO-PC-MZ
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\Software\Conduit

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [639 octets] - [25/02/2013 20:09:17]

########## EOF - C:\AdwCleaner[S1].txt - [698 octets] ##########
         
Code:
ATTFilter
ComboFix 13-02-24.01 - Besitzer 26.02.2013   5:56.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3503.2988 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-26 bis 2013-02-26  ))))))))))))))))))))))))))))))
.
.
2013-02-25 15:27 . 2013-02-25 15:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-25 11:28 . 2013-02-25 15:24	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-23 13:36 . 2013-02-23 19:01	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-01 13:51 . 2013-02-01 13:51	--------	d-----w-	c:\dokumente und einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2013-02-01 13:51 . 2013-02-01 13:51	--------	d-----w-	c:\dokumente und einstellungen\Anja\Anwendungsdaten\Thunderbird
2013-02-01 10:39 . 2013-02-01 10:39	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2013-02-01 10:39 . 2013-02-01 10:39	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Thunderbird
2013-02-01 10:39 . 2013-02-01 10:39	--------	d-----w-	c:\programme\Mozilla Thunderbird
2013-02-01 10:30 . 2013-02-01 10:30	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Epson
2013-01-31 21:03 . 2007-09-07 16:33	135168	----a-w-	c:\windows\system32\EEBAPI.dll
2013-01-31 21:03 . 2007-03-28 17:26	65536	----a-w-	c:\windows\system32\EEBUtil.dll
2013-01-31 21:03 . 2006-12-19 17:31	110592	----a-w-	c:\windows\system32\EEBDSCVR.dll
2013-01-31 21:03 . 2006-12-19 17:20	77824	----a-w-	c:\windows\system32\EBAPI.dll
2013-01-31 21:03 . 2003-12-17 00:01	55808	----a-w-	c:\windows\system32\EEBSDKIF.dll
2013-01-31 21:00 . 2007-04-10 01:06	8192	----a-w-	c:\windows\system32\E_DCINST.DLL
2013-01-31 21:00 . 2009-10-01 03:01	63488	----a-w-	c:\windows\system32\E_FD4BHLE.DLL
2013-01-31 21:00 . 2008-11-12 03:00	93696	----a-w-	c:\windows\system32\E_FLBHLE.DLL
2013-01-31 20:50 . 2013-01-31 20:50	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\ABBYY
2013-01-31 20:47 . 2013-01-31 20:50	--------	d-----w-	c:\programme\ABBYY FineReader 9.0 Sprint
2013-01-31 20:47 . 2013-01-31 20:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\ABBYY
2013-01-31 20:47 . 2013-01-31 20:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ABBYY
2013-01-31 20:46 . 2013-01-31 20:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2013-01-31 20:45 . 2013-01-31 20:45	--------	d-----w-	C:\Program Files
2013-01-31 20:44 . 2013-02-01 10:36	--------	d-----w-	c:\programme\Epson Software
2013-01-31 20:44 . 2013-01-31 20:44	--------	d-----w-	c:\programme\EpsonNet
2013-01-31 20:44 . 2011-08-30 12:39	457780	----a-w-	c:\windows\system32\ensppui.dll
2013-01-31 20:44 . 2011-08-30 12:39	457780	----a-w-	c:\windows\system32\enppui.dll
2013-01-31 20:44 . 2011-08-30 12:38	475496	----a-w-	c:\windows\system32\ensppmon.dll
2013-01-31 20:44 . 2011-08-30 12:38	475496	----a-w-	c:\windows\system32\enppmon.dll
2013-01-31 20:44 . 2011-08-01 17:24	249344	----a-w-	c:\windows\system32\enspres.dll
2013-01-31 20:44 . 2011-08-01 17:24	249344	----a-w-	c:\windows\system32\enpres.dll
2013-01-31 20:43 . 2013-01-31 20:43	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\InstallShield
2013-01-31 20:43 . 2013-01-31 21:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\EPSON
2013-01-31 20:43 . 2013-01-31 21:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2013-01-31 20:43 . 2009-10-15 23:00	132560	----a-w-	c:\windows\system32\esdevapp.exe
2013-01-31 20:43 . 2009-10-15 23:00	12800	----a-w-	c:\windows\system32\escdev.dll
2013-01-31 20:43 . 2009-09-16 23:00	342016	----a-w-	c:\windows\system32\eswiaud.dll
2013-01-31 20:43 . 2013-02-01 10:36	--------	d-----w-	c:\programme\epson
2013-01-31 20:02 . 2013-01-31 20:02	--------	d-----w-	c:\programme\WinPcap
2013-01-31 20:02 . 2013-01-31 20:02	--------	d-----w-	c:\programme\FRITZ!Powerline
2013-01-31 13:09 . 2013-01-31 13:09	--------	d-----w-	c:\windows\Sun
2013-01-31 13:09 . 2013-01-31 13:09	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-11 06:24 . 2012-07-02 05:43	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-11 06:24 . 2012-07-02 05:43	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-26 16:15 . 2012-08-22 01:20	1984	----a-w-	c:\dokumente und einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2013-01-26 03:55 . 2004-08-04 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2004-08-04 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2004-08-04 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2004-08-04 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2004-08-04 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2004-09-29 18:47	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Apps\2.0\X5PBM60V.JLE\Y2W6Y0AL.5TP\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\AVMAutoStart.exe" [2012-05-06 147456]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-06 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2009-07-06 1848648]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-11 722256]
"RTHDCPL"="RTHDCPL.EXE" [2011-07-21 20055144]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-05-06 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-05-06 182552]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-05-06 166680]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-21 348664]
"emMON"="emMON.exe" [2006-05-30 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-02 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BrowserChoice"="c:\windows\system32\browserchoice.exe" [2010-02-12 293376]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Dokumente und Einstellungen\\Anja\\Lokale Einstellungen\\Apps\\2.0\\7OQWDA9L.6R3\\5JEAEAPR.V39\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael\\Lokale Einstellungen\\Apps\\2.0\\DNKTCVCZ.Z6G\\KB07WO14.B63\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Apps\\2.0\\X5PBM60V.JLE\\Y2W6Y0AL.5TP\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [09.06.2012 17:11 36000]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [06.09.2009 17:51 76800]
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 17:07 759048]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [24.05.2008 15:09 110304]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [25.07.2012 17:58 375760]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.06.2012 17:11 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [09.06.2012 17:11 465360]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [11.02.2011 22:23 35088]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [06.05.2012 17:36 101248]
R3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\drivers\EtronHub3.sys [04.06.2012 20:31 44928]
R3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\drivers\EtronXHCI.sys [04.06.2012 20:14 64256]
R3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\drivers\IntcDAud.sys [05.06.2012 02:08 260864]
R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [05.06.2012 02:09 65136]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [05.06.2012 02:07 1691480]
S3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\drivers\fantom.sys [29.07.2008 14:09 39424]
S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?]
S3 MSHUSBVideo;NX6000/NX3000/VX5000/VX5500/VX2000/VX7000 Filter Driver;c:\windows\system32\drivers\nx6000.sys [09.05.2010 13:51 30560]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv	REG_MULTI_SZ   	Tapisrv
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-02 06:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-TomTomHOME.exe - c:\programme\TomTom HOME 2\TomTomHOMERunner.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-26 05:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'lsass.exe'(828)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(1652)
c:\programme\ScanSoft\OmniPageSE4\OpHookSE4.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2013-02-26  06:00:46
ComboFix-quarantined-files.txt  2013-02-26 05:00
ComboFix2.txt  2013-02-25 14:44
.
Vor Suchlauf: 16 Verzeichnis(se), 44.839.350.272 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 44.824.473.600 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 9228A1C8177D11FC832FC2BFC718CC06
         

Alt 26.02.2013, 08:23   #14
ryder
/// TB-Ausbilder
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Schritt 2:

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.
Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 26.02.2013, 21:21   #15
troja_hasser
 
Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Standard

Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam



Das hat wirklich gedauert. Hier nun das Ergebnis der 3 Schritte:

1.) Quick-Scan mit Malwarebytes

Nichts gefunden.
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.26.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: BUERO-PC-MZ [Administrator]

26.02.2013 18:54:52
mbam-log-2013-02-26 (18-54-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 258725
Laufzeit: 3 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
2.) ESET: 2 Funde
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=20d4af6d25521d4caac6d4d3516696d5
# engine=13247
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-26 08:20:32
# local_time=2013-02-26 09:20:32 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1800 16775165 100 99 12323 227333322 5091 0
# scanned=326422
# found=2
# cleaned=0
# scan_time=7338
sh=681D5A3B1B640D8E61A7027180C9694860C5B47C ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2012-0507.FQ trojan" ac=I fn="C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\48a06124-792c5def"
sh=8B3D9B395A0780D71A5EB719FE43E20E9B823B29 ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\4649811.js.vir"
         
3.) Security Check
Code:
ATTFilter
 Results of screen317's Security Check version 0.99.59  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
 Avira Antivirus Premium 2012   
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java(TM) 6 Update 20  
 Java 7 Update 7  
 Java version out of Date! 
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Thunderbird (17.0.2) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
         
Ich fürchte, da gibt es noch was zu tun ..... :-(

Antwort

Themen zu Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam
administratorrechte, anderen, anderes, bereich, besitzer, bildschirm, datei, dringend, erfolgreich, erstellt, forum, ide, kaspersky, links, programm, rechner, scan, seite, sekunden, trojaner mit webcam; administrator, verschiedene, webcam, windows, windows xp, windows-xp, woche, wochen



Ähnliche Themen: Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam


  1. Eigene Joomla Seite und User meldet Trojaner JS/Agent.NKW
    Plagegeister aller Art und deren Bekämpfung - 06.05.2014 (5)
  2. ClamAV findet als einziger Scanner Win.Trojan.Rbot-1339 in authfwcfg.dll (Fehlalarm?)
    Plagegeister aller Art und deren Bekämpfung - 11.08.2013 (3)
  3. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  4. Bundes-Trojaner auf User eingefangen
    Log-Analyse und Auswertung - 19.06.2013 (9)
  5. Wieder Da! Trojaner chydo in c:/user/public
    Log-Analyse und Auswertung - 14.11.2012 (9)
  6. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 11.09.2012 (13)
  7. ständig neue Trojaner-Funde in C:User/user/AppData
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (31)
  8. GVU-Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (5)
  9. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  10. Keine Berechtigung zum Löschen/Kopieren - einziger Administrator
    Log-Analyse und Auswertung - 25.06.2012 (5)
  11. Nach Virenbereinigung verlangt Win 7 Administratorrechten...
    Alles rund um Windows - 26.07.2011 (6)
  12. Trojaner in C:/Dokumente und Einstellungen/user/Temp --> c9QAmKKEC3O.exe
    Diskussionsforum - 24.03.2011 (1)
  13. Habe folgendes problem <System>=>C:\Dokumente und Einstellungen\user\Cookies\user@adviva[1].txt
    Log-Analyse und Auswertung - 30.07.2010 (18)
  14. hilfe neues benutzerkonto (USER) trojaner?
    Log-Analyse und Auswertung - 31.07.2009 (1)
  15. Explorer.exe infiziert? Hab einen zweiten explorer, der ein einziger link ist
    Mülltonne - 01.02.2008 (0)
  16. BF2 inkl. Punkbuster kann man nur mit Administratorrechten zocken!
    Alles rund um Windows - 31.07.2006 (4)
  17. Probleme mit Panda oder findet er als einziger alle Viren etc ?
    Log-Analyse und Auswertung - 31.10.2005 (11)

Zum Thema Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam - Habe mir vor etwa zwei Wochen den GVU-Trojaner mit Webcam gefangen. Auf welcher Seite weiss ich nicht genau, habe verschiedene Links auf einer Seite nacheinander durchgeklickt. Mehrere User sind auf - Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam...
Archiv
Du betrachtest: Einziger User mit Administratorrechten hat GVU-Trojaner mit Webcam auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.