GVU Trojaner, Vista 32bit

markusg · 09.06.2013, 17:43

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

PCkaputt · 09.06.2013, 18:08

Logfile:
Combofix Logfile:

Code:

ATTFilter

ComboFix 13-06-08.02 - Jacob 10.06.2013   1:52.1.4 - x86
Microsoft® Windows Vista™ Ultimate   6.0.6002.2.1252.49.1031.18.3322.2103 [GMT 2:00]
ausgeführt von:: c:\users\Jacob\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
 ADS - Windows: deleted 72 bytes in 1 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\39706376
c:\users\Jacob\AppData\Local\wuaiukc.dat
c:\users\Jacob\AppData\Local\wuaiukc_nav.dat
c:\users\Jacob\AppData\Local\wuaiukc_navps.dat
c:\users\Jacob\AppData\Local\wyuskiq.dat
c:\users\Jacob\AppData\Local\wyuskiq_nav.dat
c:\users\Jacob\AppData\Local\wyuskiq_navps.dat
c:\users\Jacob\AppData\Roaming\OfferBox
c:\users\Jacob\AppData\Roaming\OfferBox\config.xml
c:\users\Jacob\AppData\Roaming\sys32
c:\users\Jacob\h9f5sq6ll94z1.exe
c:\windows\system32\DEBUG.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\frapsvid.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-10 bis 2013-06-10  ))))))))))))))))))))))))))))))
.
.
2013-06-09 23:59 . 2013-06-10 00:02	--------	d-----w-	c:\users\Jacob\AppData\Local\temp
2013-06-06 22:20 . 2013-06-06 22:20	--------	d-----w-	C:\_OTL
2013-06-03 13:49 . 2013-06-03 13:49	--------	d-----w-	c:\users\Jacob\AppData\Roaming\noc
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-16 19:10 . 2012-04-07 18:09	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-16 19:10 . 2011-05-20 15:56	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Jacob\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Jacob\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Facebook Update"="c:\users\Jacob\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"noc"="c:\users\Jacob\AppData\Roaming\noc\dan.bat" [2013-06-02 189]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LgDevAgt"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2007-07-18 99600]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-16 4702208]
"Skytel"="Skytel.exe" [2008-01-16 1826816]
"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2009-10-01 718688]
.
c:\users\Jacob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Facebook Messenger.lnk - c:\users\Jacob\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe [2013-3-7 248240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Users^Jacob^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^FIFA 11-Registrierung.lnk]
path=c:\users\Jacob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 11-Registrierung.lnk
backup=c:\windows\pss\FIFA 11-Registrierung.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1610313911-269736585-3878416149-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
2008-04-11 15:23	38400	----a-w-	c:\windows\System32\SoundSchemes.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
2008-08-28 08:50	30720	----a-w-	c:\windows\System32\soundschemes2.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 19:10]
.
2013-06-02 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1610313911-269736585-3878416149-1000Core.job
- c:\users\Jacob\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-09 16:12]
.
2013-06-03 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1610313911-269736585-3878416149-1000UA.job
- c:\users\Jacob\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-09 16:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.die-staemme.de/
IE: Free YouTube Download - c:\users\Jacob\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\users\Jacob\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - d:\office~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{e0dcd7a1-949c-490a-bd7b-d733c2bda820} - (no file)
URLSearchHooks-{c7478d43-2bd5-4844-98b8-c2a6aa9ed677} - (no file)
WebBrowser-{E0DCD7A1-949C-490A-BD7B-D733C2BDA820} - (no file)
WebBrowser-{C7478D43-2BD5-4844-98B8-C2A6AA9ED677} - (no file)
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-10 02:02
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ByakkoDriver]
"ImagePath"="\??\c:\users\Jacob\AppData\Local\Temp\11122531.05-01-2010"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1610313911-269736585-3878416149-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:fb,12,7c,dd,40,09,76,64,ad,a2,e7,7e,58,47,1e,88,0b,d6,d5,8f,0a,11,cb,
   42,7a,69,6d,7a,7d,78,43,64,46,ed,78,b4,d1,7c,3a,8f,f3,48,64,d1,f3,bc,6a,3a,\
"??"=hex:85,9e,45,2e,c4,3f,8a,1f,ee,0b,8a,36,a6,27,a1,eb
.
[HKEY_USERS\S-1-5-21-1610313911-269736585-3878416149-1000\Software\SecuROM\License information*]
"datasecu"=hex:11,3b,1f,85,45,ca,d0,0e,f9,62,d9,ec,09,f8,32,5d,83,3d,15,3e,66,
   f5,e0,69,a6,be,2b,74,a2,25,d7,ca,c5,3c,38,e0,c2,f8,da,b4,1b,c0,3c,4a,d5,56,\
"rkeysecu"=hex:1b,e4,8b,82,08,aa,d3,1a,32,92,2d,1c,3c,82,71,4f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2928)
c:\users\Jacob\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\lpksetup.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\WUDFHost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\ehome\ehmsas.exe
c:\users\Jacob\AppData\Roaming\noc\scvhost.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-10  02:06:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-06-10 00:06
.
Vor Suchlauf: 15 Verzeichnis(se), 11.376.304.128 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 11.881.443.328 Bytes frei
.
- - End Of File - - B27548BD9623C5A5BB6483EAEC9C907F

--- --- ---
5C616939100B85E558DA92B899A0FC36
[/QUOTE]

markusg · 09.06.2013, 18:46

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

PCkaputt · 09.06.2013, 20:36

hier Das LOG:

Zitat:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.09.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jacob :: GAMING-PC [Administrator]

10.06.2013 02:58:02
mbam-log-2013-06-10 (02-58-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 404957
Laufzeit: 1 Stunde(n), 22 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Jacob\AppData\Roaming\noc\scvhost.exe (Trojan.BitMiner) -> 4072 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Jacob\AppData\Roaming\noc\scvhost.exe (Trojan.BitMiner) -> Löschen bei Neustart.
C:\Qoobox\Quarantine\C\Users\Jacob\h9f5sq6ll94z1.exe.vir (Trojan.BitMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jacob\AppData\Roaming\noc\chp.exe (Trojan.Bitcoin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg · 09.06.2013, 22:03

Hi,

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

PCkaputt · 10.06.2013, 13:24

Hier die Liste

Zitat:

Adobe AIR Adobe Systems Inc. 21.01.2010 30,7MB 1.5.3.9120 unbekannt
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 14.05.2013 11.7.700.202 notwendig
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 15.05.2013 11.7.700.202 notwendig
Adobe Reader X (10.1.6) - Deutsch Adobe Systems Incorporated 26.02.2013 10.1.6 notwendig
AirPlus G DWL-G510 D-Link 18.06.2011 5,84MB 1.0.24 notwendig
Compatibility Pack für 2007 Office System Microsoft Corporation 09.01.2013 12.0.6612.1000 unbekannt
Die Schlacht um Mittelerde™ II 02.01.2013 notwendig
Drome Racers 25.07.2010 1,09MB notwendig
Dropbox Dropbox, Inc. 05.03.2013 28,2MB 1.6.16 notwendig
DS-Timer Version 1.0.0.0 Niondir 07.07.2012 6,45MB 1.7.0.8 notwendig
Facebook Messenger 2.1.4814.0 Facebook 08.03.2013 33,5MB 2.1.4814.0 notwendig
Favorit 25.11.2008 unbekannt
Favorit 10.06.2013 unbekannt
Favorit 10.06.2013 unbekannt
FIFA 13 Electronic Arts 23.12.2012 5.416MB 1.0.0.0 notwendig
FLV Player 2.0 (build 25) Martijn de Visser 04.03.2013 1,95MB 2.0 (build 25) notwendig
Free Studio version 5.8.0.1201 DVDVideoSoft Ltd. 05.12.2012 5.8.0.1201 notwendig
HyperCam 2 20.08.2010 1,41MB unnötig
Intel(R) PRO Network Connections 12.1.12.0 Intel 02.09.2008 7,84MB unbekannt
Intel® Management-Engine-Interface Intel Corporation 02.09.2008 unbekannt
InterVideo FilterSDK for Hauppauge InterVideo Inc. 02.09.2008 2,07MB unbekannt
Java 7 Update 7 Oracle 24.09.2012 128,4MB 7.0.70 unbekannt
League of Legends Riot Games 25.11.2010 2.707MB 1.02.0000 unnötig
Logitech GamePanel Software 2.00 Logitech 02.09.2008 8,94MB 2.00.171 notwendig
Malwarebytes Anti-Malware Version 1.75.0.1300 Malwarebytes Corporation 09.06.2013 4,80MB 1.75.0.1300 notwendig
Media Go Sony 27.04.2012 101,3MB 2.1.392 notwendig
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 19.03.2009 37,0MB unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 04.03.2009 27,8MB unbekannt
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 25.06.2010 120,3MB 4.0.30319 unbekannt
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 25.06.2010 24,5MB 4.0.30319 unbekannt
Microsoft Office File Validation Add-In Microsoft Corporation 25.09.2011 14.0.5130.5003 unbekannt
Microsoft Office Live Add-in 1.4 Microsoft Corporation 30.07.2009 0,49MB 2.0.3008.0 unbekannt
Microsoft Office Professional Edition 2003 Microsoft Corporation 09.01.2013 11.0.8173.0 unbekannt
Microsoft Silverlight Microsoft Corporation 10.05.2012 5.1.10411.0 unbekannt
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 24.01.2012 0,25MB 8.0.50727.4053 unbekannt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 02.07.2011 0,29MB 8.0.59193 unbekannt
Microsoft Visual C++ 2005 Redistributable - KB2467175 Microsoft Corporation 27.04.2012 2,64MB 8.0.51011 unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 26.08.2010 0,19MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 12.04.2011 0,58MB 9.0.30729.5570 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 18.05.2011 0,23MB 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 24.08.2010 0,58MB 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 27.04.2012 0,22MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 14.06.2011 0,58MB 9.0.30729.6161 unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 22.10.2011 10.0.40219 unbekannt
Microsoft WSE 3.0 Runtime Microsoft Corp. 01.08.2012 0,92MB 3.0.5305.0 unbekannt
Microsoft Xbox 360 Accessories 1.2 Microsoft 24.12.2012 6,78MB 1.20.146.0 notwendig
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 02.09.2008 1,27MB 4.20.9848.0 unbekannt
MSXML 4.0 SP2 (KB941833) Microsoft Corporation 03.09.2008 1,27MB 4.20.9849.0 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 11.11.2008 1,28MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 25.11.2009 1,34MB 4.20.9876.0 unbekannt
MSXML 4.0 SP2 Parser and SDK Microsoft Corporation 02.09.2008 1,23MB 4.20.9818.0 unbekannt
MSXML4 Parser Microsoft Game Studios 14.09.2010 76,00KB 1.0.0 unbekannt
NVIDIA 3D Vision Controller-Treiber 285.62 NVIDIA Corporation 26.10.2011 0,41MB 285.62 unbekannt
NVIDIA 3D Vision Treiber 306.97 NVIDIA Corporation 17.11.2012 21,8MB 306.97 unbekannt
NVIDIA Display Control Panel NVIDIA Corporation 02.01.2011 19,7MB 6.14.12.5896 unbekannt
NVIDIA Grafiktreiber 306.97 NVIDIA Corporation 17.11.2012 187,8MB 306.97 unbekannt
NVIDIA PhysX-Systemsoftware 9.11.0621 NVIDIA Corporation 26.10.2011 73,3MB 9.11.0621 unbekannt
NVIDIA Update 1.10.8 NVIDIA Corporation 17.11.2012 6,37MB 1.10.8 unbekannt
OpenOffice.org 3.0 OpenOffice.org 22.10.2008 333MB 3.0.9358 notwendig
Opera 12.15 Opera Software ASA 03.04.2013 42,1MB 12.15.1748 notwendig
Origin Electronic Arts, Inc. 23.12.2012 122,4MB 9.0.10.69 notwendig
PlayStation(R)Network Downloader Sony Computer Entertainment Inc. 27.04.2012 0,81MB 2.07.00849 notwendig
PlayStation(R)Store Sony Computer Entertainment Inc. 27.04.2012 5,63MB 4.7.14.14146 notwendig
Python 2.6 Python Software Foundation 17.06.2009 47,5MB 2.6.150 unbekannt
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 02.09.2008 15,6MB 6.0.1.5473 unbekannt
Skype™ 6.1 Skype Technologies S.A. 29.01.2013 21,2MB 6.1.129 notwendig
Sony Ericsson Update Engine Sony Ericsson Communications AB 09.02.2013 23,9MB 2.13.2.16 notwendig
Sony PC Companion 2.10.136 Sony 09.02.2013 78,4MB 2.10.136 notwendig
Steam Valve Corporation 07.11.2011 35,5MB 1.0.0.0 notwendig
The Ship (multiplayer) Outerlight 02.01.2013 1.513MB notwendig
VLC media player 2.0.4 VideoLAN 13.11.2012 76,1MB 2.0.4 notwendig
Windows Live Essentials Microsoft Corporation 25.08.2010 48,2MB 14.0.8117.0416 unbekannt
WinRAR 4.20 (32-Bit) win.rar GmbH 05.01.2013 3,66MB 4.20.0 notwendig

markusg · 10.06.2013, 14:15

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Favorit : alle
HyperCam
InterVideo
Java
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
League

Öffne CCleaner, analysiern, starten, Pc neustarten.
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

PCkaputt · 10.06.2013, 14:50

das hab ich nicht gefunden/wusste nicht was damit gemeint ist:

Zitat:

haken bei mcafee security scan raus nehmen

Hierbei wusste ich nicht was gemeint ist:

Zitat:

und alle Dateien auswählen

Diesen punkt kann ich nicht erfüllen weil ich die datein vermutlich nicht ausgewählt habe?:

Zitat:

internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hatt was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

Die Favoriten haben sich nicht deinstallieren lassen, bzw. nicht erkennenswert. Da hat sich immer ganz kurz ein eingabeaufforderungsfenster geöffnet und wieder geschlossen soweit ich das erkennen konnte.
Jetzt führe ich "Öffne CCleaner, analysiern, starten, Pc neustarten." aus und warte danach auf neue anweisungen oder soll ich einfach mit dem ADWCleaner weitermachen??

markusg · 10.06.2013, 14:56

bei adobe die erweiterte sicherheit überspringen, unter vista gibts kein adobe rader 11
java script deaktivieren geht auf jeden fall.
favorit:
Revo Uninstaller - Download - Filepony

mit rewo deinstalieren, dann weiter mit dem Rest

PCkaputt · 10.06.2013, 15:22

Alles wie beschrieben durchgeführt:
Für den download von revo musste ich allerdings javascript wieder aktivieren, soll ich das jetzt wieder deaktivieren?
Mit revo gelöscht, 3 "datein" und 18registry eintragungen, soweit ich das verstanden habe.

Hier das logfile:
AdwCleaner Logfile:

Code:

ATTFilter

# AdwCleaner v2.303 - Datei am 10/06/2013 um 23:15:10 erstellt
# Aktualisiert am 08/06/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
# Benutzer : Jacob - GAMING-PC
# Bootmodus : Normal
# Ausgeführt unter : E:\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Program Files\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Users\Jacob\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Jacob\AppData\Local\PackageAware
Ordner Gelöscht : C:\Users\Jacob\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Jacob\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Windows\Installer\{2C8574B5-6935-4FCE-860E-F4E8602378FF}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\{D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2}
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Toolbar
Schlüssel Gelöscht : HKCU\Software\ICQToolbar
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Schlüssel Gelöscht : HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
Schlüssel Gelöscht : HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT1606659
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2682599
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{acaa314b-eeba-48e4-ad47-84e31c44796c}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com

-\\ Mozilla Firefox v11.0 (de)

Datei : C:\Users\Jacob\AppData\Roaming\Mozilla\Firefox\Profiles\zoll99kt.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Opera v12.15.1748.0

Datei : C:\Users\Jacob\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [2980 octets] - [10/06/2013 23:15:10]

########## EOF - C:\AdwCleaner[S1].txt - [3040 octets] ##########

--- --- ---

markusg · 10.06.2013, 18:13

Hi, bitte neustarten.
Hitman Pro - Download - Filepony
Hitmanpro laden, doppelklicken, auf Scan klicken.
Nichts löschen, auf weiter klicken, Log speichern, bzw als xml exportieren, dann posten, bzw packen und anhängen

PCkaputt · 11.06.2013, 21:21

Logfile:

Zitat:

Code:

ATTFilter

HitmanPro 3.7.6.201
www.hitmanpro.com

   Computer name . . . . : GAMING-PC
   Windows . . . . . . . : 6.0.2.6002.X86/4
   User name . . . . . . : Gaming-PC\Jacob
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-06-11 22:04:25
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 12m 18s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 45

   Objects scanned . . . : 2.907.215
   Files scanned . . . . : 24.175
   Remnants scanned  . . : 444.765 files / 2.438.275 keys

Suspicious files ____________________________________________________________

   C:\Users\Jacob\AppData\Local\PunkBuster\UNCO\pb\pbcl.dll
      Size . . . . . . . : 833.236 bytes
      Age  . . . . . . . : 1625.9 days (2008-12-28 23:55:03)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 224E58B68FE38C7B9DE702D8E970158B3DB6B0CAE3429B4903DAFC68AE60C83C
      Fuzzy  . . . . . . : 29.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Windows\system32\COMDLG32.OCX
      Size . . . . . . . : 137.736 bytes
      Age  . . . . . . . : 1142.1 days (2010-04-26 20:11:38)
      Entropy  . . . . . : 6.1
      SHA-256  . . . . . : 9D0698998FECAD750A8B155D1FBD32471DB1569973A225C15369F411C17E7EC1
      Product  . . . . . : CMDIALOG
      Publisher  . . . . : Microsoft Corporation
      Description  . . . : CMDialog ActiveX Control DLL
      Version  . . . . . : 6.00.8140
      Copyright  . . . . : Copyright © 1987-1998 Microsoft Corp.
      RSA Key Size . . . : 512
      Authenticode . . . : Self-signed
      Fuzzy  . . . . . . : 26.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is code self-signed.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.

   C:\Windows\system32\GameMon.des
      Size . . . . . . . : 3.596.060 bytes
      Age  . . . . . . . : 1527.4 days (2009-04-06 12:26:33)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : 80E082BADA4C9A546BA287073F1A35E206669343C12ADCFDC5906609A5D87D54
      Product  . . . . . : nProtect Game Monitor
      Publisher  . . . . : INCA Internet Co., Ltd.
      Description  . . . : nProtect Game Monitor Rev 1432
      Version  . . . . . : 2009.11.12.1
      Copyright  . . . . : Copyright ⓒ 2000-2007 INCA Internet
      Service  . . . . . : npggsvc
      Fuzzy  . . . . . . : 36.0
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Starts automatically as a service during system bootup.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\

markusg · 12.06.2013, 11:01

ist das das ganze log? denke da fehlt evtl. was.

PCkaputt · 12.06.2013, 12:55

müsste eigentlich komplett sein, habs noch 2mal gescannt und es kam immer das selbe ergebnis dabei raus:

Zitat:

Code:

ATTFilter

HitmanPro 3.7.6.201
www.hitmanpro.com

   Computer name . . . . : GAMING-PC
   Windows . . . . . . . : 6.0.2.6002.X86/4
   User name . . . . . . : Gaming-PC\Jacob
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-06-12 13:50:56
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 21s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 37

   Objects scanned . . . : 2.857.134
   Files scanned . . . . : 24.552
   Remnants scanned  . . : 445.742 files / 2.386.840 keys

Suspicious files ____________________________________________________________

   C:\Users\Jacob\AppData\Local\PunkBuster\UNCO\pb\pbcl.dll
      Size . . . . . . . : 833.236 bytes
      Age  . . . . . . . : 1626.6 days (2008-12-28 23:55:03)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 224E58B68FE38C7B9DE702D8E970158B3DB6B0CAE3429B4903DAFC68AE60C83C
      Fuzzy  . . . . . . : 29.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Windows\system32\COMDLG32.OCX
      Size . . . . . . . : 137.736 bytes
      Age  . . . . . . . : 1142.7 days (2010-04-26 20:11:38)
      Entropy  . . . . . : 6.1
      SHA-256  . . . . . : 9D0698998FECAD750A8B155D1FBD32471DB1569973A225C15369F411C17E7EC1
      Product  . . . . . : CMDIALOG
      Publisher  . . . . : Microsoft Corporation
      Description  . . . : CMDialog ActiveX Control DLL
      Version  . . . . . : 6.00.8140
      Copyright  . . . . : Copyright © 1987-1998 Microsoft Corp.
      RSA Key Size . . . : 512
      Authenticode . . . : Self-signed
      Fuzzy  . . . . . . : 26.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is code self-signed.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.

   C:\Windows\system32\GameMon.des
      Size . . . . . . . : 3.596.060 bytes
      Age  . . . . . . . : 1528.1 days (2009-04-06 12:26:33)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : 80E082BADA4C9A546BA287073F1A35E206669343C12ADCFDC5906609A5D87D54
      Product  . . . . . : nProtect Game Monitor
      Publisher  . . . . : INCA Internet Co., Ltd.
      Description  . . . : nProtect Game Monitor Rev 1432
      Version  . . . . . : 2009.11.12.1
      Copyright  . . . . : Copyright ⓒ 2000-2007 INCA Internet
      Service  . . . . . : npggsvc
      Fuzzy  . . . . . . : 36.0
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Starts automatically as a service during system bootup.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\

markusg · 12.06.2013, 14:52

sieht gut aus.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die
Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

12.06.2013, 11:01	#28
markusg /// Malware-holic	GVU Trojaner, Vista 32bit ist das das ganze log? denke da fehlt evtl. was. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

GVU Trojaner, Vista 32bit

Log-Analyse und Auswertung: GVU Trojaner, Vista 32bit