Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner Windows XP Professional

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.06.2013, 14:46   #1
lopop2
 
GVU Trojaner Windows XP Professional - Standard

GVU Trojaner Windows XP Professional



Hallo,

ich habe auf meinen Windows XP Professional PC einen GVU-Trojaner eingefangen.
Anfänglich war eine Bildschirmsperre dar, die keine Aktionen erlaubte.
Auch die abgesicherten Modi gingen nicht, der PC wurde sofort neu gestartet.
Ich habe die Internetverbindung sofort gekappt.

Zur Beseitigung des Problems habe ich bereits folgende Schritte unternommen:

Ich bin der Videoanleitung aus www.redirect301.de/gvu-trojaner-entfernen-2013.html
gefolgt und habe mittels der Hirens-CD die Dateien aus windows/System32/config durch die aus den windows/repair ersetzt sowie auch den Inhalt des Autostart-Ordners gesichert und entfernt.
Zusätzlich löschte ich den Inhalt des TEMP-Ordners.
Von diesen Aktionen habe ich aber leider keine Logfiles.

Nach diesen Aktionen funktionieren bei den normalen Windowsstart weder Maus und Tastatur;
sie zeigen auch keine Lebenszeichen. Bei der Ausführung der Hirens-CD funktionieren sie.

Dafür kann ich nun im abgesicherten Modus auf das cmd zugreifen; auch hier funktionieren
Maus und Tastatur. Ich habe dann den Oldtimer vom Stick gestartet, hier die Logs:

Anhang 56548

Anhang 56549

Und nun bin ich hier gestrandet und weiß nicht weiter. Hat jemand einen Rat?

P.S.: Würde es ausreichen, falls ich die Festplatte spalte und den Teil mit den Betriebssystem formatiere und dann neu aufsetze?

Alt 17.06.2013, 15:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner Windows XP Professional - Standard

GVU Trojaner Windows XP Professional





Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 17.06.2013, 21:12   #3
lopop2
 
GVU Trojaner Windows XP Professional - Standard

GVU Trojaner Windows XP Professional



Vielen Dank für die schnelle Antwort!

Vezeihung für Anhänge, hier Oldtimer nochmal:

OTL-Log
Code:
ATTFilter
OTL logfile created on: 17.06.2013 12:25:00 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = e:\
Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,19 Gb Total Physical Memory | 2,96 Gb Available Physical Memory | 92,92% Memory free
5,03 Gb Paging File | 4,98 Gb Available in Paging File | 99,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 31,36 Gb Free Space | 13,47% Space Free | Partition Type: NTFS
Drive D: | 594,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 971,11 Mb Total Space | 970,53 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: HOME-Y7J22ESSER | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.06.17 11:40:20 | 000,602,112 | ---- | M] (OldTimer Tools) -- e:\OTL.exe
PRC - [2008.04.14 04:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\mspmspsv.dll -- (WmdmPmSp)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.10.18 20:53:14 | 006,439,528 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2009.11.18 08:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 08:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.01.22 10:25:26 | 000,120,064 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1229272821-1979792683-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
[2013.05.24 11:01:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.05.24 11:00:59 | 000,000,000 | ---D | M] (Анти-Баннер) -- C:\Programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
[2013.05.24 11:01:00 | 000,000,000 | ---D | M] (Модуль проверки ссылок) -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2013.05.24 11:01:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013.05.24 11:01:23 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
 
O1 HOSTS File: ([2012.11.02 13:10:53 | 000,000,886 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 preymaster.humanhead.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AlcWzrd] C:\WINDOWS\ALCWZRD.EXE (RealTek Semicoductor Corp.)
O4 - HKLM..\Run: [SchedulingAgent] C:\WINDOWS\System32\mstinit.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1229272821-1979792683-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm File not found
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm File not found
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.09.21 15:03:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2012.11.07 02:00:00 | 000,000,128 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.06.17 12:22:04 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2013.06.17 12:16:44 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
[2013.06.17 12:14:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2013.06.17 12:12:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2013.06.17 11:15:17 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2013.06.17 11:15:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2013.06.17 11:15:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2013.06.17 11:15:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2013.06.17 11:15:16 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2013.06.13 21:40:07 | 009,089,416 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[2013.05.25 22:30:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2013.05.24 11:00:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.05.22 15:57:31 | 000,000,000 | ---D | C] -- C:\Programme\LogMeIn Hamachi
[2013.05.22 15:57:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\LogMeIn Hamachi
[2013.05.20 15:04:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsolatedStorage
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.06.17 12:17:43 | 000,568,818 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.06.17 12:17:42 | 000,593,742 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.06.17 12:17:42 | 000,131,036 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.06.17 12:17:42 | 000,113,622 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.06.17 12:12:46 | 001,070,792 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.06.17 12:12:46 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.06.17 12:12:40 | 001,070,792 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.06.17 12:11:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.06.17 12:00:57 | 000,000,201 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z
[2013.06.17 10:15:38 | 000,149,992 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.06.17 00:58:27 | 000,163,028 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013.06.17 00:40:00 | 000,000,896 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.06.16 18:02:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.06.13 22:40:12 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.06.13 22:40:12 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.06.13 22:40:08 | 009,089,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[2013.06.12 16:28:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.06.07 02:00:00 | 000,000,348 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-HOME-Y7J22ESSER-***.job
[2013.05.28 22:39:47 | 000,011,502 | ---- | M] () -- C:\check.SIZE
[2013.05.28 22:39:47 | 000,006,742 | ---- | M] () -- C:\vers.SIZE
[2013.05.28 22:39:46 | 000,011,439 | ---- | M] () -- C:\checksum.dat
[2013.05.28 22:39:42 | 000,267,776 | ---- | M] () -- C:\Spiel.exe
[2013.05.28 22:39:39 | 000,005,661 | ---- | M] () -- C:\files.dat
[2013.05.24 08:37:17 | 000,047,616 | ---- | M] () -- C:\Hauptfenster.exe
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.06.17 12:00:57 | 000,000,201 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z
[2013.06.17 11:15:18 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk
[2013.06.17 11:15:17 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2013.06.17 00:58:27 | 000,163,028 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013.05.28 22:39:30 | 000,011,502 | ---- | C] () -- C:\check.SIZE
[2013.05.28 22:39:30 | 000,006,742 | ---- | C] () -- C:\vers.SIZE
[2013.05.28 22:39:28 | 000,011,439 | ---- | C] () -- C:\checksum.dat
[2012.10.27 18:05:54 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\glut32.dll
[2012.10.24 20:48:49 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\SI.bin
[2012.07.01 13:58:11 | 000,003,766 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2012.07.01 13:58:11 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\2D66AA619D.sys
[2012.04.12 00:21:32 | 002,365,786 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1229272821-1979792683-839522115-1003-0.dat
[2012.04.01 12:08:52 | 000,140,232 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2012.04.01 12:08:31 | 000,283,416 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2012.04.01 12:08:30 | 000,076,888 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2012.03.15 19:19:27 | 000,016,836 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTAIODAT.DAT
[2012.03.15 19:16:34 | 002,283,884 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012.03.11 01:26:53 | 000,341,338 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.03.06 15:55:39 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.20 22:09:45 | 000,000,034 | ---- | C] () -- C:\WINDOWS\iltwain.ini
[2011.11.08 16:41:04 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\trustms.sys
[2011.09.27 14:47:22 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2011.09.27 14:47:21 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2011.09.22 20:56:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\Access.dat
[2011.07.21 22:51:43 | 000,000,035 | ---- | C] () -- C:\WINDOWS\WorldBuilder.INI
[2011.06.23 14:29:18 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.09.22 16:11:48 | 000,005,006 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe
 
========== ZeroAccess Check ==========
 
[2010.09.21 20:51:22 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 04:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
         
Extras-Log
Code:
ATTFilter
OTL Extras logfile created on: 17.06.2013 12:25:00 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = e:\
Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,19 Gb Total Physical Memory | 2,96 Gb Available Physical Memory | 92,92% Memory free
5,03 Gb Paging File | 4,98 Gb Available in Paging File | 99,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 31,36 Gb Free Space | 13,47% Space Free | Partition Type: NTFS
Drive D: | 594,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 971,11 Mb Total Space | 970,53 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: HOME-Y7J22ESSER | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 06.06.2013 09:07:19 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 06.06.2013 12:57:56 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.06.2013 04:15:50 | Computer Name = HOME-Y7J22ESSER | Source = Userenv | ID = 1090
Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert
 werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung 
der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt.
 
Error - 17.06.2013 04:32:47 | Computer Name = HOME-Y7J22ESSER | Source = Userenv | ID = 1090
Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert
 werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung 
der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt.
 
Error - 17.06.2013 06:15:39 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 17.06.2013 06:15:40 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 17.06.2013 06:15:40 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.06.2013 06:15:43 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 17.06.2013 06:16:47 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.06.2013 06:16:47 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2002
Description = Der Redirectordienst konnte nicht geöffnet werden. Die Redirectorleistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AVM IGD CTRL Service" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7038
Description = Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser"
 mit dem aktuellen Kennwort  aufgrund des folgenden Fehlers anmelden:   %%1330    Vergewissern
Sie
 sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der  Microsoft
 Management Console (MMC).
 
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1069
 
Error - 16.06.2013 19:24:37 | Computer Name = HOME-Y7J22ESSER | Source = sptd | ID = 262148
Description = 
 
Error - 16.06.2013 19:24:40 | Computer Name = HOME-Y7J22ESSER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Nachrichtendienst" ist vom Dienst "NetBIOS-Schnittstelle"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Tcpip
 
 
< End of report >
         
__________________

Alt 18.06.2013, 09:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner Windows XP Professional - Standard

GVU Trojaner Windows XP Professional



Zitat:
O1 - Hosts: 127.0.0.1 preymaster.humanhead.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
Derartige Einträge in der Hosts-Datei dienen dazu, raubkopierte (gecrackte) Software lauffähig zu machen

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.06.2013, 12:12   #5
lopop2
 
GVU Trojaner Windows XP Professional - Standard

GVU Trojaner Windows XP Professional



Ok, dann kommt halt alles runter^^ Trotzdem vielen dank!


Antwort

Themen zu GVU Trojaner Windows XP Professional
abgesicherten, ausführung, beseitigung, betriebssystem, bildschirmsperre, cmd, dateien, festplatte, folge, folgende, funktionieren, gvu windows xp keyboard maus, inhalt, interne, internetverbindung, maus, maus und tastatur, modus, neu, platte, professional, stick, tastatur, trojaner, verbindung, windows, windows xp



Ähnliche Themen: GVU Trojaner Windows XP Professional


  1. Windows 7 Professional gesperrt, 50€ Zahlungsanforderung
    Log-Analyse und Auswertung - 08.09.2016 (6)
  2. Windows 7 Professional startet nicht!
    Log-Analyse und Auswertung - 14.12.2014 (7)
  3. Windows XP Professional: Ukash-Trojaner entfernen.
    Log-Analyse und Auswertung - 28.12.2013 (10)
  4. Windows 7 Professional Ordner plötzlich Schreibgeschützt
    Log-Analyse und Auswertung - 20.12.2013 (5)
  5. Windows 7 Professional - nach Trojaner, vor Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (3)
  6. BKA-Trojaner Windows XP Professional (ohne Abgesicherten Modus)
    Log-Analyse und Auswertung - 29.08.2013 (44)
  7. Windows XP Professional Neuinstallation Product Key Ungültig
    Log-Analyse und Auswertung - 30.06.2013 (7)
  8. GVU/BKA Trojaner eingefangen auf Windows 7 64 Professional
    Log-Analyse und Auswertung - 25.02.2013 (1)
  9. Windows-EasyTransfer ist nicht auf Windows 7 (Professional) vorhanden!
    Alles rund um Windows - 15.01.2012 (3)
  10. Windows 7 Professional Temporäres Profil
    Alles rund um Windows - 19.07.2011 (8)
  11. Lohnt es sich bei mir Windows 7 Professional zu kaufen
    Alles rund um Windows - 27.09.2010 (8)
  12. Problem bei Installation von Windows XP Professional
    Alles rund um Windows - 21.04.2010 (3)
  13. Fehler bei Neuinstallation von Windows XP Professional
    Alles rund um Windows - 02.04.2010 (4)
  14. Anleitung: Windows 7 Professional - Installation von Sprachpaketen
    Alles rund um Windows - 14.10.2009 (1)
  15. Windows Xp Professional 64 Bit En.
    Mülltonne - 09.01.2008 (0)
  16. AW: Windows XP Professional - Rießen Problem
    Mülltonne - 25.03.2007 (0)
  17. Windows XP Professional - Rießen Problem
    Alles rund um Windows - 12.03.2006 (5)

Zum Thema GVU Trojaner Windows XP Professional - Hallo, ich habe auf meinen Windows XP Professional PC einen GVU-Trojaner eingefangen. Anfänglich war eine Bildschirmsperre dar, die keine Aktionen erlaubte. Auch die abgesicherten Modi gingen nicht, der PC wurde - GVU Trojaner Windows XP Professional...
Archiv
Du betrachtest: GVU Trojaner Windows XP Professional auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.