Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU Trojaner auf dem Laptop (Vista), Kaspersky Windows Unlocker brachte nichts (https://www.trojaner-board.de/129891-gvu-trojaner-laptop-vista-kaspersky-windows-unlocker-brachte-nichts.html)

Schnuppi 21.01.2013 18:31
GVU Trojaner auf dem Laptop (Vista), Kaspersky Windows Unlocker brachte nichts
 
Hallo an alle Experten.

Auch ich hab mir den GVU Trojaner auf dem Laptop eingefangen.

Abgesicherter Modus funktioniert nicht.
Habe es daraufhin mit der Kaspersky Rescue Disk
und dem Windows Unlocker versucht.Leider ohne Erfolg.

Schreibe jetzt auch über meinen Rechner, da auf dem
Laptop gar nichts geht. Wäre sehr hilfreich, wenn mir einer weiterhelfen könnte,
da ich ziemlicher Laie bin.
Hab zwar schon einiges hier im Board gelesen, aber da das mit den Logfiles
sehr individuell zu sein scheint, hab ich 0 Plan.
mfG Schnuppi

ryder 21.01.2013 18:48
:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!
  • Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
  • Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
  • Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
  • Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
  • Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
  • Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
  • Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
  • Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
  • Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.


Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Schnuppi 21.01.2013 19:06
Hallo ryder.
Danke schon mal für die Hilfe.
Hab aber schon das erste Problem. Seit gestern funktionieren beide USB-Sticks nich mehr.
Waren kurzzeitig am verseuchten Rechner. Geht das auch per CD?

ryder 21.01.2013 19:09
Du brauchst so oder so einen Stick, wenn du nicht an den Rechner kommst. Kannst du nicht versuchen einen der Sticks zu formatieren, normalerweise ist dann wieder alles okay.

Schnuppi 21.01.2013 19:15
Hab ich schon mehrfach versucht. PC erkennt, wenn ich den Stick in den Slot stecke und sagt mir dann. Stick ist nicht formatiert.soll formatiert werden? Wenn ich dann auf JA klicke, fängt er kurz an und teilt dann mit, das Datenträger nicht formatiert werden kann."Windows konnte die Formatierung nich abschliessen." so n mist.

ryder 21.01.2013 19:18
Probiers mal so:
http://www.chip.de/downloads/HP-USB-..._23418669.html

Schnuppi 21.01.2013 19:34
Selbst das geht nich. failed to format the device.

Hab noch nen anderen gefunden. hat aber nur 512MB. reicht das?

ryder 21.01.2013 19:39
Ja, das sollte eigentlich reichen.

Schnuppi 21.01.2013 19:43
Woher weiss ich ob ich Hitman 32bit oder 64bit nehmen muss. Sry für die dumme Frage, aber 0 Plan.

ryder 21.01.2013 19:46
Eines von beiden wird funktionieren :)

Schnuppi 21.01.2013 20:34
nicht das du denkst ich bin weg. versuch grad 2. versuch mit Hitman.

hab übrigens bei meinem anderen Stick ersehen können, das da plötzlich Partitionstyp
MBR (Master Boot Record) steht. Sagt dir das was?

ryder 21.01.2013 20:36
Ja, dass du da was falsch gelesen hast :)

MBR hat nichts mit Partitionstyp zu tun.

Schnuppi 21.01.2013 20:55
Hab es jetzt zweimal versucht. Hitman startet von dem Stick nicht. Vielleicht is der auch im
A... . Hat so nich viel Sinn. Werde wohl morgen erst nen neuen Stick kaufen. Dann mal sehen ob`s mit Hitman klappt. Melde mich dann. Sorry das hier (bei mir) nix funktioniert!!

Moinsen.

Hab jetzt nen neuen Stick.
HitmanKickstart drauf, durchlaufen lassen. Soweit mkay.
Gebracht hat es leider nichts. Nach PC-Neustart immer noch gesperrt.
Hab jetzt den HitmanPro Logfile über die OTLPE Disc von Oldtimer runterbekommen.
Über das normale System geht gar nichts.
Folgend also der HitmanPro Logfile:
[CODE]
Code:
HitmanPro 3.7.0.185
www.hitmanpro.com

  Computer name . . . . : MICHAELA'S-PC
  Windows . . . . . . . : 6.0.0.6000.X86/2
  UAC . . . . . . . . . : Enabled
  License . . . . . . . : Free

  Scan date . . . . . . : 2013-01-22 16:17:14
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 4m 5s
  Disk access mode  . . : Direct disk access (SPTI)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No

  Threats . . . . . . . : 0
  Traces  . . . . . . . : 8

  Objects scanned . . . : 1.076.823
  Files scanned . . . . : 17.174
  Remnants scanned  . . : 186.420 files / 873.229 keys

Cookies _____________________________________________________________________

  C:\Users\Michaela\AppData\Roaming\Microsoft\Windows\Cookies\michaela@apmebf[1].txt
  C:\Users\Michaela\AppData\Roaming\Microsoft\Windows\Cookies\michaela@mediaplex[2].txt
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:112.2o7.net
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:2o7.net
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:de.sitestat.com
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:livenation.122.2o7.net
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:stat.dealtime.com
  C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\7u8joinf.default\cookies.sqlite:www.etracker.de
Oh Hups. Hab die Antwort an die Gestrige angehängt.

Hab jetzt mal die OTLPE Disc scanen lassen.
Folgend die OTL.txt
Code:
OTL logfile created on: 1/22/2013 5:33:13 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Basic  (Version = 6.0.6000) - Type = System
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
765.00 Mb Total Physical Memory | 553.00 Mb Available Physical Memory | 72.00% Memory free
705.00 Mb Paging File | 581.00 Mb Available in Paging File | 82.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 30.00 Gb Total Space | 5.55 Gb Free Space | 18.51% Space Free | Partition Type: NTFS
Drive D: | 42.52 Gb Total Space | 7.94 Gb Free Space | 18.67% Space Free | Partition Type: NTFS
Drive E: | 7.18 Gb Total Space | 7.18 Gb Free Space | 100.00% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/01/15 04:34:38 | 000,167,424 | ---- | M] () [Auto] -- C:\Users\Michaela\AppData\Local\Temp\wpbt0.dll -- (Winmgmt)
SRV - [2012/12/11 11:49:50 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/12/11 11:48:56 | 000,565,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/12/11 11:48:45 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2007/09/07 09:00:50 | 000,265,912 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2012/12/11 11:50:11 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/12/11 11:50:10 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/11/19 10:59:36 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/08/27 09:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/05/07 02:55:22 | 000,767,488 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2007/07/02 13:14:48 | 000,456,056 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\SISGRKMD.sys -- (SiS6350)
DRV - [2007/06/20 04:12:18 | 000,047,616 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\SiSGB6.sys -- (SiSGbeLH)
DRV - [2006/11/07 16:24:30 | 000,056,240 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\SISAGPX.SYS -- (SISAGP)
DRV - [2005/11/09 09:44:48 | 000,024,288 | ---- | M] (Alpha Networks Inc.) [Kernel | Auto] -- C:\Windows\System32\ANIO.sys -- (ANIO)
DRV - [2005/11/03 14:39:02 | 000,245,504 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Dr71WU.sys -- (RT73)
DRV - [2001/01/22 17:23:36 | 000,006,080 | ---- | M] (Zeal SoftStudio) [Kernel | Auto] -- C:\Windows\System32\drivers\zntport.sys -- (zntport)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Michaela_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.fujitsu-siemens.com/index2
IE - HKU\Michaela_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Michaela_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Michaela_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Michaela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: D:\Programme\Mozilla\components [2013/01/14 00:58:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: D:\Programme\Mozilla\plugins
 
 
O1 HOSTS File: ([2006/09/18 16:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Michaela_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Michaela_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\Michaela_ON_C\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SiSTray] C:\Program Files\SiS VGA Utilities\SiSTray.exe (Silicon Integrated Systems Corporation)
O4 - HKLM..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe ()
O4 - HKLM..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\Monitor.exe (Ulead Systems, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Michaela_ON_C..\Run: [gStart] C:\Program Files\Garmin\Training Center\gStart.exe (GARMIN Corp.)
O4 - HKU\Michaela_ON_C..\Run: [MyTomTomSA.exe] C:\Program Files\MyTomTom 3\MyTomTomSA.exe (TomTom)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: Error locating startup folders.
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (ICQ, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000035 - C:\Program Files\Avira\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 16:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/01/22 10:16:18 | 000,000,000 | ---D | C] -- C:\ProgramData\HitmanPro
 
========== Files - Modified Within 30 Days ==========
 
[2013/01/22 10:30:32 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013/01/22 10:29:26 | 095,023,320 | ---- | M] () -- C:\ProgramData\0tbpw.pad
[2013/01/22 10:27:51 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013/01/22 10:27:51 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013/01/22 10:27:50 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/01/22 10:27:35 | 802,340,864 | -HS- | M] () -- C:\hiberfil.sys
[2013/01/22 10:17:44 | 000,030,616 | ---- | M] () -- C:\Windows\System32\drivers\hitmanpro37.sys
[2013/01/16 06:04:39 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013/01/15 04:35:35 | 000,003,224 | ---- | M] () -- C:\ProgramData\0tbpw.js
[2013/01/15 04:35:35 | 000,000,918 | ---- | M] () -- C:\Users\Michaela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/05 12:14:19 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013/01/05 12:14:19 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013/01/05 12:14:19 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013/01/05 12:14:19 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2013/01/22 10:17:00 | 000,030,616 | ---- | C] () -- C:\Windows\System32\drivers\hitmanpro37.sys
[2013/01/21 14:03:04 | 802,340,864 | -HS- | C] () -- C:\hiberfil.sys
[2013/01/15 04:35:35 | 000,003,224 | ---- | C] () -- C:\ProgramData\0tbpw.js
[2013/01/15 04:35:34 | 000,000,918 | ---- | C] () -- C:\Users\Michaela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/15 04:34:53 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad
[2012/07/06 03:51:12 | 000,000,680 | ---- | C] () -- C:\Users\Michaela\AppData\Local\d3d9caps.dat
[2010/11/17 14:03:48 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2010/11/17 14:03:48 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2009/03/27 06:01:52 | 000,049,152 | ---- | C] () -- C:\Windows\System32\JJAKEn.dll
[2008/09/30 06:32:05 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2008/09/30 06:30:05 | 000,006,768 | ---- | C] () -- C:\Windows\mgxoschk.ini
[2008/04/13 09:29:06 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008/03/09 07:36:46 | 000,001,025 | ---- | C] () -- C:\Windows\System32\sysprs7.dll
[2008/03/09 07:36:46 | 000,001,025 | ---- | C] () -- C:\Windows\System32\clauth2.dll
[2008/03/09 07:36:46 | 000,001,025 | ---- | C] () -- C:\Windows\System32\clauth1.dll
[2008/03/09 07:36:46 | 000,000,205 | ---- | C] () -- C:\Windows\System32\lsprst7.dll
[2008/03/09 07:36:46 | 000,000,073 | ---- | C] () -- C:\Windows\System32\ssprs.dll
[2008/02/29 01:05:21 | 000,048,640 | ---- | C] () -- C:\Users\Michaela\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/10/25 01:11:59 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2007/08/22 05:15:14 | 000,040,448 | ---- | C] () -- C:\Windows\REGOBJ.DLL
[2007/02/02 07:21:08 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2007/02/02 07:21:07 | 000,641,344 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2007/02/02 07:21:07 | 000,116,706 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2007/02/02 07:21:07 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 07:53:49 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 07:44:53 | 000,418,248 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 05:33:01 | 000,610,142 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 05:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 05:33:01 | 000,103,924 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 05:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 05:25:21 | 000,061,440 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2006/11/02 05:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 03:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 03:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 02:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/11/02 02:22:43 | 000,099,999 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2006/11/02 02:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2005/11/16 12:21:34 | 000,002,048 | ---- | C] () -- C:\Windows\System32\drivers\rt73.bin
[2002/03/16 19:00:00 | 000,007,420 | ---- | C] () -- C:\Windows\UA000096.DLL
 
========== LOP Check ==========
 
[2008/05/27 10:21:52 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\fotobuch.de AG
[2012/07/31 14:39:11 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\Garmin
[2009/11/01 07:19:09 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\gtk-2.0
[2008/01/26 10:22:49 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\ICQ
[2008/01/27 12:17:21 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\ICQ Toolbar
[2009/03/24 13:47:56 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\MAGIX
[2008/05/30 12:30:18 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\TomTom
[2010/11/12 13:46:27 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\TOPP Druckstudio 2
[2008/06/22 06:10:40 | 000,000,000 | ---D | M] -- C:\Users\Michaela\AppData\Roaming\Ulead Systems
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009/07/12 07:36:41 | 000,000,000 | ---D | M] -- C:\ProgramData\ElsterFormular
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2008/05/27 10:21:52 | 000,000,000 | ---D | M] -- C:\ProgramData\fotobuch.de AG
[2012/07/29 11:42:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Garmin
[2013/01/22 10:23:32 | 000,000,000 | ---D | M] -- C:\ProgramData\HitmanPro
[2008/09/30 06:33:36 | 000,000,000 | ---D | M] -- C:\ProgramData\MAGIX
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2006/11/02 07:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2011/07/26 13:54:29 | 000,000,000 | ---D | M] -- C:\ProgramData\tmp
[2008/05/30 12:36:31 | 000,000,000 | ---D | M] -- C:\ProgramData\TomTom
[2008/06/18 14:23:18 | 000,000,000 | ---D | M] -- C:\ProgramData\Ulead Systems
[2013/01/22 10:30:13 | 000,032,570 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
Ist das normal das ich keine Extras.txt finde?

Schnuppi 23.01.2013 05:37
Wollt gestern Abend noch gmer durchscanen lassen,
aber unter ReatogoXPe läuft das nicht.

ryder 23.01.2013 14:40
Dann machen wir mit otlpe auch weiter:

Fix mit OTLpe
Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

  • Starte den infizierten Rechner mit der OTLpe-CD und starte OTLpe.
  • Falls du keine Internetverbindung hast:
    1. Drücke Windows-Taste + R > notepad (reinschreiben) > OK
    2. Kopiere das Fixskript in den Editor und speichere die Datei als Fix.txt
    3. Kopiere dir die Fix.txt auf einen USB-Stick.
    4. Schliesse den Stick an den infizierten Rechner an und kopiere dir die Datei auf den Desktop.
  • Füge das Skript in das Feld Custom Scans / Fixes ein:
Code:
:OTL
[2013/01/15 04:35:35 | 000,003,224 | ---- | C] () -- C:\ProgramData\0tbpw.js
[2013/01/15 04:35:34 | 000,000,918 | ---- | C] () -- C:\Users\Michaela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/15 04:34:53 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad

:files
 C:\Users\Michaela\AppData\Local\Temp\wpbt0.dll
  • Schliesse bitte nun alle anderen Programme.
  • Klicke nun bitte auf den Fix Button.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. (Auch zu finden unter C:\OTLpe\MovedFiles\<datum_nummer.log>)
  • Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.
Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTLpe scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:
Fragen:
  • Kannst du jetzt wieder in den normalen Modus booten?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:00 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131