Trojaner-Board - GVU 2.07 Win XP, OTL.txt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU 2.07 Win XP, OTL.txt (https://www.trojaner-board.de/121451-gvu-2-07-win-xp-otl-txt.html)

GVU 2.07 Win XP, OTL.txt

Guten Tag liebe Helfer,

ich habe ein auf mein PC (WinXP) ein Trojaner. GVU 2.07.

Sobald der Rechner eine Internetverbindung hat kommt das Speerfenster.
Trenne ich die Verbindung kann ich "normal" mit dem PC arbeiten. Nur der Taskmanager schliesst sich ständig. Kann ihn nicht öffnen.

Maylwarebytes hat nichts gefunden.
Avira ebenfalls nicht.

Habe bereits eine OTL-datei erstellen lassen. Siehe Anhang.

Wollte Gmer ausführen, allerdings hat sich da ständig der PC neugestartet!?

Ich hoffe ihr könnt helfen.

Vielen Dank schon mal an die freiwilligen Helfer!!!!

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 

DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 

DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 

DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 

IE - HKLM\..\SearchScopes,DefaultScope = {2B7F43F4-165A-4945-9006-1F48E73D694E} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKLM\..\SearchScopes\{2B7F43F4-165A-4945-9006-1F48E73D694E}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-839522115-573735546-682003330-500\..\SearchScopes,DefaultScope = {2B7F43F4-165A-4945-9006-1F48E73D694E} 

IE - HKU\S-1-5-21-839522115-573735546-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

O4 - HKLM..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-839522115-573735546-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O31 - SafeBoot: UseAlternatShell - 1 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2012.01.25 17:23:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

O32 - AutoRun File - [2012.04.23 15:34:50 | 000,000,135 | ---- | M] () - F:\autorun.inf -- [ FAT32 ] 

[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] 
 

[2012.07.24 06:27:03 | 000,000,000 | ---D | C] -- C:\Programme\Conduit 

[2012.08.02 15:46:00 | 000,000,226 | ---- | M] () -- C:\WINXP\tasks\Scheduled Update for Ask Toolbar.job 

[2012.08.02 15:22:00 | 000,000,880 | ---- | M] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job 

[2012.08.02 14:51:10 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job 

[2012.08.02 14:23:52 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job 

[2012.08.02 12:28:49 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\piz_0ef.pad 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo,

habe wie oben beschrieben das Script ausgeführt.

Jetzt startet Windows gar nicht mehr!!!!:heulen:
boot.ini fehlt und eine dll. datei defekt (glaub Had.dll oder so) weiß es gerade nicht mehr.
Komm auch nicht in abgesicherten Modus rein.
:killpc:
Versuch heute Mittag mal den Bootsector neu zu schreiben, in der hoffnung das es was bringt.

gruß
Mr.Oasis

Boote den Rechner mit der Windows-CD in die Reparatur-Konsole oder mit einer Linux-CD.

Schaue ob die dateien in C:\_OTL\MovedFiles zu finden sind.

Ich kann den Pfad nicht ändern!? Wenn ich z.b auf mein cd-Laufwerk gehe springt er sofort wieder auf c:\winxp um!!
Cd.. Usw nimmt er nicht mehr an.

Der Fehler mit boot.ini kommt nicht mehr.
Hab chkdsk und fixboot durchlaufen lassen.

Noch eine Idee?
Ist übrigends Root/system32/HAL.dll die fehlt

so, hab jetzt die platte in ein anderen PC eingebaut.
hier die Log-file:

All processes killed
========== OTL ==========
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File %SystemRoot%\System32\hidserv.dll not found.
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2B7F43F4-165A-4945-9006-1F48E73D694E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B7F43F4-165A-4945-9006-1F48E73D694E}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Unable to set value : HKEY_USERS\S-1-5-21-839522115-573735546-682003330-500\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E!
Unable to set value : HKU\S-1-5-21-839522115-573735546-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
C:\Programme\Ask.com\GenericAskToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Programme\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\C6501Sound deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry key HKEY_USERS\S-1-5-21-839522115-573735546-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
F:\autorun.inf moved successfully.
C:\WINXP\System32\CONFIG.TMP deleted successfully.
C:\boot.ini moved successfully.
C:\Programme\Conduit\Community Alerts folder moved successfully.
C:\Programme\Conduit folder moved successfully.
C:\WINXP\tasks\Scheduled Update for Ask Toolbar.job moved successfully.
C:\WINXP\tasks\Adobe Flash Player Updater.job moved successfully.
C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\piz_0ef.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Oasis\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Oasis\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 2776 bytes
->Temporary Internet Files folder emptied: 71344 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 173195 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Oasis
->Temp folder emptied: 162970190 bytes
->Temporary Internet Files folder emptied: 26069597 bytes
->Java cache emptied: 277212 bytes
->Google Chrome cache emptied: 1905008 bytes
->Flash cache emptied: 2163 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 286043 bytes
RecycleBin emptied: 2359350 bytes

Total Files Cleaned = 185,00 mb

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: Oasis
->Flash cache emptied: 0 bytes

User: UpdatusUser

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.56.0 log created on 08082012_080651

bleibt dennoch dasporb mit der hal.dll

Du sollst nicht auf das CDl aufwerk sondern auf C:\_OTL\MovedFiles
dort in WinXP-> system32 die Datei suchen und nach C:\WINXP\System32 kopieren.

Nein, keine Datei gefunden!

Hab ihn zum starten gebracht. Bootcfg hat Anscheind geholfen.
Trojaner scheint weg zu sein.
Nur kommt jetzt beim Start: Fehler beim Laden von c:doku\***\lokale\temp\fe0_zip.exe
Das Modul wurde nicht gefunden

Und er ist relativ langsam.

Sind jetzt noch weitere Schritte wegen dem Trojaner
Notwendig!?
Gruss

-------------------
So, maylewarebyte hat noch 2 Sachen gefunden. Gelöscht.
Jetzt ist auch der rundll Fehler weg! Ich hoffe das war's! Vielen dank John!!!!!!!!

Wo ist das Log von Malwarebytes? (Reiter Logdateien)

Dein Rchner ist weder sauber noch abgesichert.
Ich sage bescheid, wenn wir fertig sind!

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.