| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner Windows XP ProfessionalWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.06.2013, 14:46
| #1 |
| |  GVU Trojaner Windows XP Professional Hallo, ich habe auf meinen Windows XP Professional PC einen GVU-Trojaner eingefangen. Anfänglich war eine Bildschirmsperre dar, die keine Aktionen erlaubte. Auch die abgesicherten Modi gingen nicht, der PC wurde sofort neu gestartet. Ich habe die Internetverbindung sofort gekappt. Zur Beseitigung des Problems habe ich bereits folgende Schritte unternommen: Ich bin der Videoanleitung aus www.redirect301.de/gvu-trojaner-entfernen-2013.html gefolgt und habe mittels der Hirens-CD die Dateien aus windows/System32/config durch die aus den windows/repair ersetzt sowie auch den Inhalt des Autostart-Ordners gesichert und entfernt. Zusätzlich löschte ich den Inhalt des TEMP-Ordners. Von diesen Aktionen habe ich aber leider keine Logfiles. Nach diesen Aktionen funktionieren bei den normalen Windowsstart weder Maus und Tastatur; sie zeigen auch keine Lebenszeichen. Bei der Ausführung der Hirens-CD funktionieren sie. Dafür kann ich nun im abgesicherten Modus auf das cmd zugreifen; auch hier funktionieren Maus und Tastatur. Ich habe dann den Oldtimer vom Stick gestartet, hier die Logs: Anhang 56548 Anhang 56549 Und nun bin ich hier gestrandet und weiß nicht weiter. Hat jemand einen Rat? P.S.: Würde es ausreichen, falls ich die Festplatte spalte und den Teil mit den Betriebssystem formatiere und dann neu aufsetze? |
|
17.06.2013, 15:07
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | GVU Trojaner Windows XP Professional  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
|
17.06.2013, 21:12
| #3 |
| | GVU Trojaner Windows XP Professional Vielen Dank für die schnelle Antwort!
__________________Vezeihung für Anhänge, hier Oldtimer nochmal: OTL-Log Code:
ATTFilter OTL logfile created on: 17.06.2013 12:25:00 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = e:\ Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2800.1106) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,19 Gb Total Physical Memory | 2,96 Gb Available Physical Memory | 92,92% Memory free 5,03 Gb Paging File | 4,98 Gb Available in Paging File | 99,05% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 31,36 Gb Free Space | 13,47% Space Free | Partition Type: NTFS Drive D: | 594,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive E: | 971,11 Mb Total Space | 970,53 Mb Free Space | 99,94% Space Free | Partition Type: FAT Computer Name: HOME-Y7J22ESSER | User Name: Administrator | Logged in as Administrator. Boot Mode: SafeMode | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.06.17 11:40:20 | 000,602,112 | ---- | M] (OldTimer Tools) -- e:\OTL.exe PRC - [2008.04.14 04:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe ========== Modules (No Company Name) ========== ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\mspmspsv.dll -- (WmdmPmSp) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2011.10.18 20:53:14 | 006,439,528 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2009.11.18 08:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 08:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2009.01.22 10:25:26 | 000,120,064 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1229272821-1979792683-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 [2013.05.24 11:01:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.05.24 11:00:59 | 000,000,000 | ---D | M] (Анти-Баннер) -- C:\Programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru [2013.05.24 11:01:00 | 000,000,000 | ---D | M] (Модуль проверки ссылок) -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru [2013.05.24 11:01:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions [2013.05.24 11:01:23 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} O1 HOSTS File: ([2012.11.02 13:10:53 | 000,000,886 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 preymaster.humanhead.com O1 - Hosts: 127.0.0.1 activate.adobe.com O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AlcWzrd] C:\WINDOWS\ALCWZRD.EXE (RealTek Semicoductor Corp.) O4 - HKLM..\Run: [SchedulingAgent] C:\WINDOWS\System32\mstinit.exe (Microsoft Corporation) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z () O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1229272821-1979792683-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm File not found O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm File not found O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O31 - SafeBoot: UseAlternatShell - 1 O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.09.21 15:03:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2012.11.07 02:00:00 | 000,000,128 | R--- | M] () - D:\autorun.inf -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.06.17 12:22:04 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2013.06.17 12:16:44 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien [2013.06.17 12:14:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache [2013.06.17 12:12:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood [2013.06.17 11:15:17 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2013.06.17 11:15:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten [2013.06.17 11:15:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies [2013.06.17 11:15:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung [2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft [2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten [2013.06.17 11:15:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop [2013.06.17 11:15:16 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo [2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör [2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü [2013.06.17 11:15:16 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart [2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen [2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung [2013.06.17 11:15:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen [2013.06.13 21:40:07 | 009,089,416 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe [2013.05.25 22:30:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype [2013.05.24 11:00:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2013.05.22 15:57:31 | 000,000,000 | ---D | C] -- C:\Programme\LogMeIn Hamachi [2013.05.22 15:57:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\LogMeIn Hamachi [2013.05.20 15:04:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsolatedStorage [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.06.17 12:17:43 | 000,568,818 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.06.17 12:17:42 | 000,593,742 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.06.17 12:17:42 | 000,131,036 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.06.17 12:17:42 | 000,113,622 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.06.17 12:12:46 | 001,070,792 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2013.06.17 12:12:46 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin [2013.06.17 12:12:40 | 001,070,792 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2013.06.17 12:11:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.06.17 12:00:57 | 000,000,201 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z [2013.06.17 10:15:38 | 000,149,992 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2013.06.17 00:58:27 | 000,163,028 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433 [2013.06.17 00:40:00 | 000,000,896 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.06.16 18:02:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.06.13 22:40:12 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2013.06.13 22:40:12 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2013.06.13 22:40:08 | 009,089,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe [2013.06.12 16:28:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2013.06.07 02:00:00 | 000,000,348 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-HOME-Y7J22ESSER-***.job [2013.05.28 22:39:47 | 000,011,502 | ---- | M] () -- C:\check.SIZE [2013.05.28 22:39:47 | 000,006,742 | ---- | M] () -- C:\vers.SIZE [2013.05.28 22:39:46 | 000,011,439 | ---- | M] () -- C:\checksum.dat [2013.05.28 22:39:42 | 000,267,776 | ---- | M] () -- C:\Spiel.exe [2013.05.28 22:39:39 | 000,005,661 | ---- | M] () -- C:\files.dat [2013.05.24 08:37:17 | 000,047,616 | ---- | M] () -- C:\Hauptfenster.exe [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.06.17 12:00:57 | 000,000,201 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.7z [2013.06.17 11:15:18 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk [2013.06.17 11:15:17 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk [2013.06.17 00:58:27 | 000,163,028 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433 [2013.05.28 22:39:30 | 000,011,502 | ---- | C] () -- C:\check.SIZE [2013.05.28 22:39:30 | 000,006,742 | ---- | C] () -- C:\vers.SIZE [2013.05.28 22:39:28 | 000,011,439 | ---- | C] () -- C:\checksum.dat [2012.10.27 18:05:54 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\glut32.dll [2012.10.24 20:48:49 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\SI.bin [2012.07.01 13:58:11 | 000,003,766 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2012.07.01 13:58:11 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\2D66AA619D.sys [2012.04.12 00:21:32 | 002,365,786 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1229272821-1979792683-839522115-1003-0.dat [2012.04.01 12:08:52 | 000,140,232 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2012.04.01 12:08:31 | 000,283,416 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe [2012.04.01 12:08:30 | 000,076,888 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe [2012.03.15 19:19:27 | 000,016,836 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTAIODAT.DAT [2012.03.15 19:16:34 | 002,283,884 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data [2012.03.11 01:26:53 | 000,341,338 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2012.03.06 15:55:39 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.12.20 22:09:45 | 000,000,034 | ---- | C] () -- C:\WINDOWS\iltwain.ini [2011.11.08 16:41:04 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\trustms.sys [2011.09.27 14:47:22 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2011.09.27 14:47:21 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2011.09.22 20:56:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\Access.dat [2011.07.21 22:51:43 | 000,000,035 | ---- | C] () -- C:\WINDOWS\WorldBuilder.INI [2011.06.23 14:29:18 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.09.22 16:11:48 | 000,005,006 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe ========== ZeroAccess Check ========== [2010.09.21 20:51:22 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 04:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both < End of report > Code:
ATTFilter OTL Extras logfile created on: 17.06.2013 12:25:00 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = e:\
Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,19 Gb Total Physical Memory | 2,96 Gb Available Physical Memory | 92,92% Memory free
5,03 Gb Paging File | 4,98 Gb Available in Paging File | 99,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 31,36 Gb Free Space | 13,47% Space Free | Partition Type: NTFS
Drive D: | 594,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 971,11 Mb Total Space | 970,53 Mb Free Space | 99,94% Space Free | Partition Type: FAT
Computer Name: HOME-Y7J22ESSER | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 06.06.2013 09:07:19 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 06.06.2013 12:57:56 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 17.06.2013 04:15:50 | Computer Name = HOME-Y7J22ESSER | Source = Userenv | ID = 1090
Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert
werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung
der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt.
Error - 17.06.2013 04:32:47 | Computer Name = HOME-Y7J22ESSER | Source = Userenv | ID = 1090
Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert
werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung
der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt.
Error - 17.06.2013 06:15:39 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige Indexwert
ist das erste DWORD im Datenbereich, während die letzten gültigen Indexwerte die
zweiten und dritten DWORD im Datenbereich sind.
Error - 17.06.2013 06:15:40 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige Indexwert
ist das erste DWORD im Datenbereich, während die letzten gültigen Indexwerte die
zweiten und dritten DWORD im Datenbereich sind.
Error - 17.06.2013 06:15:40 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 17.06.2013 06:15:43 | Computer Name = HOME-Y7J22ESSER | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
falsch formatiert. Die ungültige Zeichenfolge ist 2862 und der ungültige Indexwert
ist das erste DWORD im Datenbereich, während die letzten gültigen Indexwerte die
zweiten und dritten DWORD im Datenbereich sind.
Error - 17.06.2013 06:16:47 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 17.06.2013 06:16:47 | Computer Name = HOME-Y7J22ESSER | Source = PerfNet | ID = 2002
Description = Der Redirectordienst konnte nicht geöffnet werden. Die Redirectorleistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
[ System Events ]
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AVM IGD CTRL Service" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7038
Description = Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser"
mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%1330 Vergewissern
Sie
sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
Management Console (MMC).
Error - 16.06.2013 19:20:36 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1069
Error - 16.06.2013 19:24:37 | Computer Name = HOME-Y7J22ESSER | Source = sptd | ID = 262148
Description =
Error - 16.06.2013 19:24:40 | Computer Name = HOME-Y7J22ESSER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Nachrichtendienst" ist vom Dienst "NetBIOS-Schnittstelle"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 17.06.2013 06:13:22 | Computer Name = HOME-Y7J22ESSER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips intelppm IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss Tcpip
< End of report >
|
|
18.06.2013, 09:21
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | GVU Trojaner Windows XP ProfessionalZitat:
 Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
18.06.2013, 12:12
| #5 |
| | GVU Trojaner Windows XP Professional Ok, dann kommt halt alles runter^^ Trotzdem vielen dank! |
|
| Themen zu GVU Trojaner Windows XP Professional |
| abgesicherten, ausführung, beseitigung, betriebssystem, bildschirmsperre, cmd, dateien, festplatte, folge, folgende, funktionieren, gvu windows xp keyboard maus, inhalt, interne, internetverbindung, maus, maus und tastatur, modus, neu, platte, professional, stick, tastatur, trojaner, verbindung, windows, windows xp |
