| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Noch ein GVU TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.04.2013, 19:18
| #1 |
| /// TB-Ausbilder  |  Noch ein GVU Trojaner Ah da ist noch was: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Combofix-Skript
Schritt 2: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können. Schritt 3: Update: Firefox, Addons und Plugins
Schritt 4: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
11.04.2013, 18:11
| #2 |
 | Noch ein GVU Trojaner Hallo Ryder.
__________________Alle Schritte abgearbeitet Combofix hat mitgeteilt dass das Hochladen der Dateien funktioniert hat Flash Player und der Acrobat reader war auch noch veraltet und habe ich auch ein update gemacht. Ich habe festgestellt das nach einem Neustart von win-xp ein Fenster aufgeht mit der Meldung Anwendung wird gestartet und sucht nach einer Internetverbindung (das ist neu) Wohl, da zu diesem Zeitpunkt noch keine W-Lan Verbindung besteht kann das ja nicht gehen. Ich habe nun festgestellt das dies den USB-Fernaschluß von AVM (Fritzbox) betrifft. Bei dem Versuch ein manuellen update durchzuführen bekomme ich die Meldung =================== Eine Systemaktualisierung ist erforderlich Die Anwendung kann weder Installiert noch gestartet werden Diese Anwendung erfordert, dass das System auf Microsoft Common Language Runtime Versiion 4.0.30319.0 aktualisiert wird. =================== Nach dem bestätigen durch OK, wars das dann, aber es kommt wieder nach dem Neustart Hast du eine eine Idee? Und hier die Logs Danke vielmals. Gruß, -Luis Code:
ATTFilter ComboFix 13-04-10.02 - **** 11.04.2013 17:19:13.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.600 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
file zipped: c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\~tmp25550.exe
file zipped: c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\tempfiles.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\****\Anwendungsdaten\Help\coredb\storage
c:\dokumente und einstellungen\****\Anwendungsdaten\skype.ini
c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\~tmp25550.exe
c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\tempfiles.exe
c:\windows\system32\drivers\fad.sys
c:\windows\wininit.ini
.
Infizierte Kopie von c:\windows\system32\ntdll.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\$hf_mig$\KB2393802\SP3QFE\ntdll.dll wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-03-11 bis 2013-04-11 ))))))))))))))))))))))))))))))
.
.
2013-08-02 13:31 . 2013-08-02 13:31 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Ankh
2013-08-02 13:25 . 2013-08-02 13:30 -------- d-----w- c:\programme\Ankh
2013-04-09 14:41 . 2013-04-09 14:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-04-09 10:34 . 2013-04-09 10:34 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2013-04-08 16:30 . 2013-04-08 16:30 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2013-03-28 18:52 . 2013-03-28 18:52 -------- d-----w- c:\programme\Video downloader
2013-03-28 18:51 . 2013-03-28 18:51 -------- d-----w- c:\programme\SoftwareUpdater
2013-03-28 18:51 . 2013-03-28 18:51 -------- d-----w- c:\programme\AutoLyrics
2013-03-28 18:50 . 2013-04-11 15:25 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\temp
2013-03-19 16:15 . 2013-03-29 10:57 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2013-03-19 16:15 . 2013-03-19 16:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2013-03-19 16:15 . 2013-03-29 10:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2013-03-15 06:06 . 2013-03-15 06:06 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\PCHealth
2013-03-13 20:10 . 2013-02-12 00:32 12928 ------w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-13 20:10 . 2013-02-12 00:32 12928 ------w- c:\windows\system32\dllcache\usb8023.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-08 08:36 . 2004-08-13 11:40 293888 ----a-w- c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2004-08-13 11:40 2195712 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-07 15:56 . 2004-08-03 23:50 2072320 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-03-02 01:57 . 2004-08-13 11:40 1867392 ----a-w- c:\windows\system32\win32k.sys
2013-03-02 01:53 . 2004-08-13 11:40 916480 ----a-w- c:\windows\system32\wininet.dll
2013-03-02 01:53 . 2004-08-13 11:40 43520 ------w- c:\windows\system32\licmgr10.dll
2013-03-02 01:53 . 2004-08-13 11:40 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-03-02 01:08 . 2004-08-13 11:40 385024 ------w- c:\windows\system32\html.iec
2013-02-27 07:56 . 2004-08-13 11:51 2067456 ----a-w- c:\windows\system32\mstscax.dll
2013-02-12 00:32 . 2008-11-10 18:38 12928 ------w- c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2004-08-13 11:40 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-01-26 03:55 . 2004-08-13 11:40 552448 ----a-w- c:\windows\system32\oleaut32.dll
2012-12-09 21:31 . 2012-12-09 21:31 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{77BEC163-D389-42c1-91A4-C758846296A5}]
2013-03-14 16:43 164184 ----a-w- c:\programme\Video downloader\Extension32.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{DAEB9E85-4694-4F9B-85CB-2F28987872D7}]
2013-02-27 23:13 109568 ----a-w- c:\programme\AutoLyrics\autolrcs.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\****\Lokale Einstellungen\Apps\2.0\AA558EX7.GQW\Q5KZMH3T.9N0\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\AVMAutoStart.exe" [2011-08-27 147456]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2004-09-13 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-07-06 344064]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2004-11-10 598016]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2004-01-07 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\****\Startmenü\Programme\Autostart\
Product Registration.lnk - c:\dokumente und einstellungen\****\Lokale Einstellungen\Temp\is-N0K1V.tmp\ATR1.exe [N/A]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2005-5-13 24576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\****\\Lokale Einstellungen\\Apps\\2.0\\AA558EX7.GQW\\Q5KZMH3T.9N0\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.06.2012 12:38 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.06.2012 12:38 86224]
R2 Video downloader Updater;Video downloader Updater;c:\programme\Video downloader\ExtensionUpdaterService.exe [28.03.2013 20:52 188760]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [27.08.2011 14:17 101248]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [13.05.2005 19:51 80384]
S2 srvBrowserProtect;Browser Protect;c:\programme\BrowserProtect\srvBrowserProtect.exe --> c:\programme\BrowserProtect\srvBrowserProtect.exe [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-11 c:\windows\Tasks\Auto Lyrics Update.job
- c:\programme\AutoLyrics\AutoLyricsUpdater.exe [2013-02-27 23:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uInternet Settings,ProxyOverride = <local>
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\wlfkf1qy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.eazel.com/results.php?cat=web&co=&lg=en&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2013-03-28 19:51; autolyrics@man-soft.net; c:\programme\AutoLyrics\FF
FF - ExtSQL: 2013-03-28 19:52; {77BEC163-D389-42c1-91A4-C758846296A5}; c:\programme\Video downloader\Firefox
FF - user.js: extensions.autoDisableScopes - 0
FF - user.js: extensions.shownSelectionUI - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-11 17:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1776)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKeeper.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\basfipm.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Apoint\Apntex.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\notepad.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-04-11 17:41:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-04-11 15:41
ComboFix2.txt 2013-04-09 13:18
.
Vor Suchlauf: 11 Verzeichnis(se), 12.240.429.056 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 12.840.271.872 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A8C7703F2FC6016CC16A8BB6D2861F42
Hochladen war erfolgreich
Code:
ATTFilter Results of screen317's Security Check version 0.99.61
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 17
Adobe Flash Player 11.7.700.169
Adobe Reader XI
Mozilla Firefox (20.0)
Mozilla Thunderbird (17.0.2)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
|
|
| Themen zu Noch ein GVU Trojaner |
| adobe reader xi, antivir, avira, bho, cdburnerxp, dealply, downloader, einstellungen, error, excel, fehler, firefox, flash player, fontcache, format, gvu/bka, helper, home, homepage, logfile, microsoft office 2003, mozilla, plug-in, registry, rundll, scan, security, softwareupdater, starten, trojaner, trojaner board, udp, windows internet |
WARNUNG für die MITLESER: 
Hybrid-Darstellung
