|
GUV-Trojaner komplett entfernen Hallo, ich habe mir vor einiger Zeit den GUV-Trojaner eingefangen. Es hat sich ein Dokument in den Vordergrund geschoben, meine Web-Cam ging an und ich konnte erstmal nichts mehr machen. Sollte innerhalb von 72 Stunden 100 EUR zahlen, ansonsten würde ein Strafverfahren gegen mich eingeleitet. Nachdem ich dann ne Zeit gewartet hatte (auschalten, nach einiger Zeit wieder einschalten), ging dann doch wieder einiges und ich konnte mein Virenprogramm laufen lassen. Danach konnte ich wieder "normal" arbeiten. Allerdings kam der GUV-Trojaner wieder, aber nicht mehr so hartnäckig, da durch Nutzen von strg+alt+entfernen und "abmelden" das o.g. Dokument verschwand. Jetzt hat ein Bekannter bereits Virenscanner über meinen PC laufen lassen. Allerdings verschwindet eine Meldung beim Start des PC´s nicht (RunDLL - Problem beim Starten von "C:\Users\*\AppData\Local\Temp\glom0_og.exe" - Das angegebene Modul wurde nicht gefunden. Mein Bekannter hat dann Ihre Seite empfohlen, um noch den Rest vom GUV-Trojaner zu entfernen. Dazu habe ich bereits folgende Schritte durchgeführt: Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. • Schliesse bitte nun alle Programme. (Wichtig) • Starte bitte die OTL.exe. • Klicke nun bitte auf den Quick Scan Button. • Wenn der Scan beendet wurde, werden 2 Textdokumente erstellt. • Kopiere nun den Inhalt aus OTL.txt und Extra.txt in deinen Thread Anschließend kommt die OTL.txt-Datei und im Anhang die Extra.txt-Datei. Ich hoffe, Sie können mit meinen Ausführungen etwas anfangen und ich sag jetzt schon mal DANKE SCHÖN!!!!!!! Die OTL.txt-Datei:OTL Logfile: Code: OTL logfile created on: 09.08.2012 19:01:11 - Run 1 |
:hallo: Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
Hallo t´john vielen Dank für Deine Nachricht. Habe alles so gemacht, wie Du es empfohlen hast. Hier ist das Ergebnis, im 08102012_174028-Editor All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! Prefs.js: "hxxp://www.google.de/|hxxp://www.google.de/" removed from browser.startup.homepage Prefs.js: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20110323 removed from extensions.enabledItems Prefs.js: DTToolbar@toolbarnet.com:1.1.7.0190 removed from extensions.enabledItems Prefs.js: "hxxp://isearch.avg.com/search?cid=%7Bededfa7c-ae89-4db1-a4dd-8eebc7e5e6e4%7D&mid=15fc459fc0b347d091ed2197b7eab165-940157160e4f6854920be111df9032b1794c3367&ds=AVG&v=10.0.0.7&lang=de&pr=pr&d=2012-07-15%2021%3A24%3A57&sap=ku&q=" removed from keyword.URL 64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found. 64bit-Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully. C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully. C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IMSS deleted successfully. C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe moved successfully. C:\Users\Gutjahr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully. Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-3414270749-1976733336-1188120071-1000\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-3414270749-1976733336-1188120071-1000\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found. Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully. 64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{746eb170-1b28-11e0-b86d-c0cb38e8ba3a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{746eb170-1b28-11e0-b86d-c0cb38e8ba3a}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{746eb170-1b28-11e0-b86d-c0cb38e8ba3a}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{746eb170-1b28-11e0-b86d-c0cb38e8ba3a}\ not found. File G:\SETUP.EXE not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6046f2a-9ba2-11e1-a8cc-f0def10e5896}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6046f2a-9ba2-11e1-a8cc-f0def10e5896}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6046f2a-9ba2-11e1-a8cc-f0def10e5896}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6046f2a-9ba2-11e1-a8cc-f0def10e5896}\ not found. File G:\pushinst.exe not found. C:\Users\Gutjahr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully. C:\ProgramData\go_0molg.pad moved successfully. C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully. C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully. C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully. ========== FILES ========== < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Aufl”sungscache wurde geleert. C:\Users\Gutjahr\Desktop\cmd.bat deleted successfully. C:\Users\Gutjahr\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gutjahr ->Temp folder emptied: 16693920 bytes ->Temporary Internet Files folder emptied: 3875562 bytes ->Java cache emptied: 1008607 bytes ->FireFox cache emptied: 172395624 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 2118 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 56934 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85230 bytes RecycleBin emptied: 596480 bytes Total Files Cleaned = 186,00 mb [EMPTYFLASH] User: All Users User: Default User: Default User User: Gutjahr ->Flash cache emptied: 0 bytes User: Public User: UpdatusUser Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.56.0 log created on 08102012_174028 Files\Folders moved on Reboot... C:\Users\Gutjahr\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\Gutjahr\AppData\Local\Temp\soap0_wsdl.exe moved successfully. File\Folder C:\Users\Gutjahr\AppData\Local\Temp\WERF49B.tmp.WERInternalMetadata.xml not found! File\Folder C:\Users\Gutjahr\AppData\Local\Temp\~DF324F2F522E3118A0.TMP not found! File\Folder C:\Users\Gutjahr\AppData\Local\Temp\~DFB468124AF3E63036.TMP not found! PendingFileRenameOperations files... File C:\Users\Gutjahr\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Users\Gutjahr\AppData\Local\Temp\soap0_wsdl.exe not found! File C:\Users\Gutjahr\AppData\Local\Temp\WERF49B.tmp.WERInternalMetadata.xml not found! File C:\Users\Gutjahr\AppData\Local\Temp\~DF324F2F522E3118A0.TMP not found! File C:\Users\Gutjahr\AppData\Local\Temp\~DFB468124AF3E63036.TMP not found! Registry entries deleted on Reboot... |
Sehr gut! :daumenhoc Wie laeuft der Rechner? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hallo t´john, sorry, aber der Scan mit Malwarebytes hat eeeewig gedauert. Außerdem musste ich nen Neustart machen, damit die zwei Dateien entfernt wurden. Beim Hochfahren hat es auch viiieeeel länger gedauert als sonst. Im Anhang das Ergebnis von adwcleaner. Ach ja, ne Zwischeninfo. Meine Tochter hatte zwischendurch den PC laufen. :koch: Hoffe das macht nix...??? Ansonsten hab ich den Rechner nur eingeschaltet, um auf Deine Antworten zu warten. Da ist er viel schneller hochgefahren, als zu der Zeit, als der GUV-Trojaner noch "aufgeschlagen" hat. Danke schon mal wieder und Gute Nacht....:sleepy: Gruß GoodYear |
:) Wo ist das Malwarebytes Log? Schaue unter Reiter Logdateien! |
Hallo t´john, die hatte ich vergessen. Hier folgt sie... Gruß GoodYear Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.09.11 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Gutjahr :: GUTJAHR-PC [Administrator] 09.08.2012 23:28:15 mbam-log-2012-08-09 (23-28-15).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 212785 Laufzeit: 2 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Gutjahr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Sehr gut! :daumenhoc
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
Hallo t´john, ich glaub jetzt hab ich was falsch gemacht:heulen: Schon beim Runterladen und Installieren von Emsisoft Anti-Malware hab ich glaub ich einen falschen Download gemacht:nono: Ich fürchte für Dich, dass mein Problem etwas längere Aufmerksamkeit fordern wird. Hier aber erst mal die 2 Dateien (leider kann ich Dir die LogDatei von adwcleaner.exe nicht anhängen, da ich sie nicht unter C:\AdwCleaner[S1].txt. finden kann). Deshalb die beiden Dateien unten kopiert: # AdwCleaner v1.800 - Logfile created 08/11/2012 at 16:31:30 # Updated 01/08/2012 by Xplode # Operating system : Windows 7 Home Premium Service Pack 1 (64 bits) # User : Gutjahr - GUTJAHR-PC # Running from : C:\Users\Gutjahr\Desktop\adwcleaner.exe # Option [Delete] ***** [Services] ***** ***** [Files / Folders] ***** Folder Deleted : C:\Users\Gutjahr\AppData\Roaming\Mozilla\Firefox\Profiles\51j17tgm.default\extensions\DTToolbar@toolbarnet.com Folder Deleted : C:\Program Files (x86)\DAEMON Tools Toolbar File Deleted : C:\Users\Gutjahr\AppData\Roaming\Mozilla\Firefox\Profiles\51j17tgm.default\searchplugins\daemon-search.xml File Deleted : C:\Program Files (x86)\Mozilla Firefox\searchplugins\avg-secure-search.xml ***** [Registry] ***** Key Deleted : HKCU\Software\Softonic Key Deleted : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj Key Deleted : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj.1 Key Deleted : HKLM\SOFTWARE\DT Soft ***** [Registre - GUID] ***** Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}] [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} [x64] Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}] ***** [Internet Browsers] ***** -\\ Internet Explorer v9.0.8112.16421 [OK] Registry is clean. -\\ Mozilla Firefox v14.0.1 (de) Profile name : default File : C:\Users\Gutjahr\AppData\Roaming\Mozilla\Firefox\Profiles\51j17tgm.default\prefs.js [OK] File is clean. -\\ Google Chrome v21.0.1180.75 File : C:\Users\Gutjahr\AppData\Local\Google\Chrome\User Data\Default\Preferences [OK] File is clean. ************************* AdwCleaner[R1].txt - [3402 octets] - [10/08/2012 23:15:02] AdwCleaner[S1].txt - [2777 octets] - [11/08/2012 16:31:30] ########## EOF - C:\AdwCleaner[S1].txt - [2905 octets] ########## Emsisoft Anti-Malware - Version 6.6 Letztes Update: 11.08.2012 17:14:28 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\ Archiv Scan: An ADS Scan: An Scan Beginn: 11.08.2012 17:19:15 c:\program files (x86)\downloadmanager gefunden: Trace.File.mediapipe!E1 C:\Users\Gutjahr\Documents\CloneDVD 2 v2.9.2.8 + CloneDVD Mobile v1.7.1.0 - M\CLONEDVD2928 KEYGEN\Keygen2.exe gefunden: Riskware.Keygen.CloneDVD!E2 C:\Users\Gutjahr\AppData\Local\Temp\YontooSetup-Silent.exe gefunden: Adware.Win32.Yontoo.AMN!E1 C:\Users\Gutjahr\AppData\Local\Temp\is357113909\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe gefunden: Malware.Win32.AMN!E1 C:\Users\Gutjahr\AppData\Local\Temp\YontooIEClient.dll gefunden: Adware.Win32.Yontoo.AMN!E1 C:\ProgramData\Tarma Installer\{ED7702F7-093C-4968-8B84-3CF5D1A3F23D}\_Setupx.dll gefunden: Adware.Win32.Yontoo.AMN!E1 C:\Program Files (x86)\Yontoo\YontooIEClient.dll gefunden: Adware.Win32.Yontoo.AMN!E1 Gescannt 665936 Gefunden 7 Scan Ende: 11.08.2012 17:53:25 Scan Zeit: 0:34:10 C:\Users\Gutjahr\AppData\Local\Temp\is357113909\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe Quarantäne Malware.Win32.AMN!E1 C:\Users\Gutjahr\AppData\Local\Temp\YontooSetup-Silent.exe Quarantäne Adware.Win32.Yontoo.AMN!E1 C:\Users\Gutjahr\AppData\Local\Temp\YontooIEClient.dll Quarantäne Adware.Win32.Yontoo.AMN!E1 C:\ProgramData\Tarma Installer\{ED7702F7-093C-4968-8B84-3CF5D1A3F23D}\_Setupx.dll Quarantäne Adware.Win32.Yontoo.AMN!E1 C:\Program Files (x86)\Yontoo\YontooIEClient.dll Quarantäne Adware.Win32.Yontoo.AMN!E1 C:\Users\Gutjahr\Documents\CloneDVD 2 v2.9.2.8 + CloneDVD Mobile v1.7.1.0 - M\CLONEDVD2928 KEYGEN\Keygen2.exe Quarantäne Riskware.Keygen.CloneDVD!E2 Quarantäne 6 |
Sehr gut! :daumenhoc Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
|
Guten Morgen t´john, der Scan hat wieder ewig gedauert. Ca. 3 1/2 Stunden.:crazy: Deshalb erst jetzt die gewünschte Log-Datei. Dauert das allgemein so lange, oder ist mein PC so stark "verseucht"?? Und behindert es die Arbeit, wenn zwischendurch jemand was am PC macht? Danke schon mal und noch einen schönen Sonntag. Gruß GoodYear |
Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
Hallo t´john, danke, dass du sogar deinen Sonntag für mich opferst:dankeschoen: Ich hab einige Fragen zu dem Punkt: "Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren." Hab im systray nur avast! Free Antivirus Malwarebytes Anti-Malware; Spybot - Search&Destroy; CCleaner; McAffee Security Scan Plus und Lenovo Security Suite sind auf dem Desktop und laufen nur, wenn ich diese Öffne. Dann hab ich noch OTL und adwcleaner von unseren bisherigen Aktionen auf dem Desktop. Sind das auch Programme, die ich deaktivieren muss? Die laufen ja nur, wenn ich diese aktiviere/öffne. Nachdem Combofix den Rechner lahm legen kann, möchte ich hier natürlich kein Risiko eingehen. Gruß GoodYear |
Nur das: Zitat:
|
Deinstallieren oder deaktivieren???? |
Deinstallieren, wenn deaktivieren nicht geht :) |
Hallo t´john, diesmal hat alles relativ schnell funktioniert. Leider kann ich jetzt nach dem Scan und erhalt der Log-Datei auf meinem PC (Laptop) keine einzige Anwendung mehr öffnen. Jedesmal geht ein Fenster auf mit folgendem Text: "Es wurde versucht, einen Registrierungsschlüssel einem unzulässgen Vorgang zu unterziehen, der zum Löschen markiert wurde" Wenn ich OK anklicke erscheint: "Dieses Element kann nicht geöffnet werden. Möglicherweise wurde es verschoben, umbenannt oder gelöscht. Dieses Element löschen? Ja Nein" Was soll ich jetzt machen? Schreib dir jetzt von meinem antiquierten Rechner (ist von 1998), der sehr langsam ist und auch kaum Internetverbindung über Fritz!Wlan bekommt. Gruß GoodYear |
Ja, loeschen. |
Ich kann aber gar nichts aufmachen....:( Ich erhalte keine Internetverbindung auf meinem Laptop, kann also die Log-Datei nicht senden. Eigentlich geht gar nichts mehr... Oder geht es dann? Wenn ich auf JA klicke? Meine nächste Antwort kann dann wieder etwas länger dauern, da ich im Moment nicht zu Hause am Rechner sitze... (Also nicht an dem lahmen, antiquierten Rechner von 1998) Gruß GoodYear |
Ja, klicken. Danach neustarten. |
Hallo t´john, jetzt bin ich wieder an meinem Laptop. Geht wieder :applaus: Kann ich eigentlich meine externe Festplatte und die USB-Sticks wieder abhängen?? Ich schicke dir jetzt die Log-Dateien (C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt): C:\ComboFix.txt Combofix Logfile: Code: ComboFix 12-08-10.02 - Gutjahr 12.08.2012 21:50:16.1.4 - x64C:\Qoobox\Add-Remove Programs.txt: 7-Zip 9.20 AAVUpdateManager Adobe Flash Player 11 ActiveX Adobe Flash Player 11 Plugin Adobe Reader X (10.1.3) - Deutsch Adobe Shockwave Player 11.6 Amazon MP3-Downloader 1.0.9 ArcSoft Print Creations ArcSoft Print Creations - Album Page ArcSoft Print Creations - Photo Book ArcSoft TotalMedia HDCam Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver avast! Free Antivirus Bing Bar BioExcess Broadcom 802.11 Wireless Driver CloneDVD2 CyberLink Power2Go 8 CyberLink WaveEditor 2 CyberLink YouCam DAEMON Tools Lite DAEMON Tools Toolbar DealPly Energy Management Free Audio CD to MP3 Converter version 1.3.12.1228 Google Chrome Google Earth Google Update Helper High-Definition Video Playback Intel(R) Control Center Intel(R) Graphics Media Accelerator Driver Intel(R) Management Engine Components Intel(R) Rapid Storage Technology Java Auto Updater Java(TM) 6 Update 31 JDownloader 0.9 Junk Mail filter update Lenovo EasyCamera Lenovo OneKey Recovery Lenovo ReadyComm 5 Lenovo ReadyComm 5.0 Service Lenovo Security Suite Müller Foto Malwarebytes Anti-Malware Version 1.62.0.1300 McAfee Security Scan Plus Microsoft Choice Guard Microsoft Office 2010 Microsoft Silverlight Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Sync Framework Runtime Native v1.0 (x86) Microsoft Sync Framework Services Native v1.0 (x86) Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Mozilla Firefox 14.0.1 (x86 de) Mozilla Maintenance Service MSVCRT Nero 11 Kwik Themes Basic Nero Audio Pack 1 Nero Core Components 11 Nero Kwik Media Nero Kwik Media Help (CHM) Nero Update nero.prerequisites.msi NVIDIA Updatus Port Locker Power2Go Realtek High Definition Audio Driver Realtek USB 2.0 Card Reader SearchYa! Web Search Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841) Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708) Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121) Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405) Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870) Spybot - Search & Destroy Steuer-Spar-Erklärung 2011 swMSM Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2473228) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) Visual Studio 2008 x64 Redistributables VLC media player 1.1.5 Windows Live-Uploadtool Windows Live Anmelde-Assistent Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Fotogalerie Windows Live Mail Windows Live Messenger Windows Live Movie Maker Windows Live Sync Windows Live Writer |
Sehr gut! :daumenhoc 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. |
Hallo t´john, es wurden keine infizierten Objekte gefunden :cool: hier die Log-Datei: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.13.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Gutjahr :: GUTJAHR-PC [Administrator] 13.08.2012 22:23:09 mbam-log-2012-08-13 (22-23-09).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 375886 Laufzeit: 59 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck |
Hallo t´john, hier der gewünschte PluginCheck: PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Firefox 14.0.1 ist aktuell Flash (11,3,300,270) ist aktuell. Java (1,7,0,5) ist aktuell. Adobe Reader 10,1,3,23 ist aktuell. Zurück Tools: StartSeite PluginCheck Secunia Online Scan Weiterführendes: Java Updaten und Einstellen Secunia Personal Software Inspector (PSI) Family: TR/Agent Gruß GoodYear Jetzt geht es anscheinend langsam aufs "Ende" zu, oder? |
Sehr gut! :daumenhoc damit bist Du sauber und entlassen! :) Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen => dort reinschreiben ComboFix /Uninstall => Enter drücken Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html PC wird immer langsamer - was tun? |
Hallo t´john, bin jetzt durch, bis auf CCleaner. Einerseits schreibst Du, dass die Fehler in der Registry behoben werden sollen, aber in der Anleitung aus Deinem Beitrag steht, dass die Bereinigung der Registry auf keinen Fall empfohlen wird. Was ist richtig? Gruß GoodYear |
Schoen, dass dir das auffaellt! :daumenhoc Ich verlinke die Anleitung, weil man es nicht aus Spass tun soll. Hier ist es aber geboten. |
Hallo t´john, hab jetzt CCleaner analysieren lassen und CCleaner gestartet. Das war dann doch das Registry, oder? Wie lösche ich jetzt die temporären Dateien? Oder hab ich jetzt mit dem CCleaner die temporären Dateien gelöscht? Und wie behebe ich dann die Fehler in der Registry? Gruß GoodYear |
Siehe Anleitung die ist furt die TEMP. Registry ist doch eins tiefer. |
In der Anleitung steht dann nichts mehr zu Registry. Nur, dass es nicht empfohlen wird. Hab nichts dazu gefunden...:wtf: |
|
soll ich die Änderungen in der Registry sichern? |
Brauchst du nicht. |
So, hab jetzt alles so gemacht wie vorgeschlagen. Was kommt als nächstes? Oder sind wir jetzt fertig? |
Fertig :) |
Super!!!!!!!!!!!!!!!! :taenzer: Vielen, vielen, vielen und noch mehr DANK!!!! :party: BEstimmt war es mit mir nicht leicht. Manchmal war ich nah dran das zu tun: :killpc: Aber mit deiner Hilfe war es echt leicht. Nochmal vielen Dank. Jetzt weiss ich ja, wo ich mich mal hinwenden kann, wenn meine PC wieder mal muckt. Gruß GoodYear |
:) halb so schlimm ) wuensche eine virenfreie Zeit :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board