Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU: Ihr Internet Service Provider blockiert (https://www.trojaner-board.de/132400-gvu-internet-service-provider-blockiert.html)

sontik 18.03.2013 12:29
GVU: Ihr Internet Service Provider blockiert
 
Hi, auch ich habe diese Problem: GVU: Ihr Internet Service Provider blockiert, habe die OTL gestartet und die Dateien gespeichert

aharonov 18.03.2013 13:22
Hi,

Zitat:
habe die OTL gestartet und die Dateien gespeichert
Dann poste diese Dateien bitte hier, sonst kann man dir nicht helfen. ;)
(Die Logfiles bitte nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)

sontik 18.03.2013 16:03
der log text war zu lang, deswegen hier als Anhang

aharonov 18.03.2013 17:28
Hallo,

ist das ein Firmen- oder ein Privatrechner?
Versuch mal das und schau, ob du danach wieder normal nach Windows starten kannst.


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Bitte poste in deiner nächsten Antwort:
  • Log von Combofix

sontik 19.03.2013 15:40
Ich benutze Windows XP unter Virtualbox auf einem Mac Rechner. Im Safe mode hatte ich keine Internet Verbindung, wodurch die Wiederherstellungskonsole nicht heruntergeladen werden konnte.
hier das log file.

Combofix Logfile:
Code:
ComboFix 13-03-19.01 - sent 18.03.2013  17:50:30.1.1 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.1535.1057 [GMT 1:00]
ausgef¸hrt von:: D:\ComboFix.exe
AV: Trend Micro OfficeScan Antivirus *Disabled/Outdated* {CB991027-8974-4DBF-82FC-1D6127EA595E}
AV: Trend Micro OfficeScan Antivirus *Enabled/Updated* {9CC59960-A8F5-4AD4-87B0-EEB836B78134}
FW: Trend Micro Personal Firewall *Enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Lˆschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\windows\system32\SET1028.tmp
c:\windows\system32\SET1029.tmp
c:\windows\system32\SET117B.tmp
c:\windows\system32\SET92E.tmp
c:\windows\system32\SET94F.tmp
c:\windows\system32\SETBEE.tmp
c:\windows\system32\SETBEF.tmp
c:\windows\system32\SETBF0.tmp
c:\windows\system32\SETBF1.tmp
c:\windows\system32\SETBF4.tmp
c:\windows\system32\SETBF5.tmp
c:\windows\system32\SETBF6.tmp
c:\windows\system32\SETBF8.tmp
c:\windows\system32\SETBFA.tmp
c:\windows\system32\SETBFC.tmp
c:\windows\system32\SETCD9.tmp
c:\windows\system32\SETE2F.tmp
c:\windows\system32\SETEB6.tmp
c:\windows\system32\SETFE6.tmp
c:\windows\system32\SETFE7.tmp
c:\windows\system32\SETFE9.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-02-18 bis 2013-03-18  ))))))))))))))))))))))))))))))
.
.
2013-03-15 22:28 . 2013-03-15 22:28        --------        d-----w-        c:\windows\Sun
2013-03-12 16:53 . 2013-03-12 16:53        --------        d-----w-        c:\program files\WS_FTP
2013-03-08 14:39 . 2001-08-17 12:48        17664        -c--a-w-        c:\windows\system32\dllcache\sermouse.sys
2013-03-08 14:39 . 2001-08-17 12:48        17664        ----a-w-        c:\windows\system32\drivers\sermouse.sys
2013-03-07 21:15 . 2013-03-07 21:15        --------        d-----w-        c:\documents and settings\All Users\HyperTerminal
2013-03-07 21:15 . 2008-09-30 12:22        164864        ----a-w-        c:\windows\system32\UNWISE32.EXE
2013-03-07 21:15 . 2013-03-07 21:15        --------        d-----w-        c:\program files\HyperTerminal
2013-02-28 16:54 . 2013-02-28 16:54        --------        d-----w-        c:\documents and settings\sent\Local Settings\Application Data\Lexware
2013-02-28 16:54 . 2013-02-28 16:54        --------        d-----w-        d:\sent\Application Data\Lexware
2013-02-28 16:53 . 2013-02-28 16:53        --------        d-----w-        c:\program files\Common Files\DataDesign
2013-02-28 16:53 . 2013-02-28 18:17        --------        d-----w-        C:\Hausverwalter 2013
2013-02-28 16:53 . 2013-02-28 16:53        --------        d-----w-        c:\program files\Common Files\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaSuite.exe"="c:\program files\Nokia\Nokia Suite\NokiaSuite.exe" [2012-08-03 1086376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-02-05 849192]
"Microsoft Pinyin IME Migration"="c:\progra~1\COMMON~1\MICROS~1\IME12\IMESC\IMSCMIG.EXE" [2008-11-04 33128]
"ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2010-10-12 304568]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"VBoxTray"="c:\windows\system32\VBoxTray.exe" [2012-03-13 946480]
"Zune Launcher"="c:\program files\Zune\ZuneLauncher.exe" [2011-08-05 159456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"MaxGPOScriptWait"= 180 (0xb4)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLogonScripts"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPublishingWizard"= 1 (0x1)
"NoWebServices"= 1 (0x1)
"NoOnlinePrintsWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowCpl"= 1 (0x1)
"DisablePersonalDirChange"= 1 (0x1)
"NoStartMenuMyGames"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"GreyMSIAds"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
  IME File        REG_SZ                IMSC12.IME
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1593251271-2640304127-1825641215-1050104\Scripts\Logon\0\0]
"Script"=\\nsn-intra.net\sysvol\nsn-intra.net\scripts\programs\GPOLogon\GPOLogonV3.6.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1593251271-2640304127-1825641215-113105\Scripts\Logon\0\0]
"Script"=\\nsn-intra.net\sysvol\nsn-intra.net\scripts\programs\GPOLogon\GPOLogonV3.6.vbs
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%systemroot%\\PCHEALTH\\HELPCTR\\Binaries\\helpsvc.exe"=
"c:\\Program Files\\WebEx\\Connect\\wbxcOIEx.exe"=
"c:\\Program Files\\WebEx\\Connect\\widget.exe"=
"c:\\Program Files\\WebEx\\Connect\\connect.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24881:TCP"= 24881:TCP:Trend Micro OfficeScan Listener
.
R0 VBoxGuest;VirtualBox Guest Driver;c:\windows\system32\drivers\VBoxGuest.sys [06.03.2011 20:33 107824]
R0 vmscsi;vmscsi;c:\windows\system32\drivers\vmscsi.sys [24.09.2011 02:05 17968]
R1 VBoxSF;VirtualBox Shared Folders;c:\windows\system32\drivers\VBoxSF.sys [13.03.2012 13:54 224560]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [24.04.2010 21:37 341520]
R3 VBoxMouse;VirtualBox Guest Mouse Service;c:\windows\system32\drivers\VBoxMouse.sys [13.03.2012 13:54 85808]
S0 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys --> c:\windows\system32\DRIVERS\vmci.sys [?]
S1 vmdebug;VMware Replay Debugging Helper;\??\c:\windows\system32\Drivers\vmdebug.sys --> c:\windows\system32\Drivers\vmdebug.sys [?]
S2 Cisco WebEx Connect Upgrade Service;Cisco WebEx Connect Upgrade Service;c:\program files\WebEx\Connect\apUpdate.exe [28.02.2011 18:24 824632]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
S2 MCsvc;Managed Client Service;c:\windows\system32\MCSvc.exe [23.09.2011 17:34 69632]
S2 Service Launcher;Service Launcher;c:\windows\system32\SvcLncher.exe [23.05.2012 08:39 208896]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [27.09.2011 14:36 59152]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [04.12.2009 16:39 264504]
S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [04.12.2009 16:38 36664]
S2 UCMS;UCMS;c:\program files\Siemens\UCMS\Core\UCMS.exe [23.05.2012 08:37 94208]
S2 VBoxService;VirtualBox Guest Additions Service;system32\VBoxService.exe --> system32\VBoxService.exe [?]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
S3 TmPfw;OfficeScan NT Firewall;c:\program files\Trend Micro\OfficeScan Client\TmPfw.exe [07.01.2010 10:44 497008]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [07.01.2010 10:42 689416]
S3 VBoxVideo;VBoxVideo;c:\windows\system32\drivers\VBoxVideo.sys [06.03.2011 20:34 104240]
S3 vmmouse;VMware Pointing Device;c:\windows\system32\drivers\vmmouse.sys [23.05.2012 08:38 11440]
S3 vmx_svga;vmx_svga;c:\windows\system32\drivers\vmx_svga.sys [24.09.2011 02:01 102256]
S3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [13.11.2011 19:50 30000]
S4 a320raid;a320raid;c:\windows\system32\drivers\a320raid.sys [24.09.2011 02:05 251194]
S4 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [24.09.2011 02:05 188984]
S4 mv64xx;mv64xx;c:\windows\system32\drivers\mv64xx.sys [24.09.2011 02:05 277032]
S4 SiSRaid4;SiSRaid4;c:\windows\system32\drivers\sisraid4.sys [24.09.2011 02:05 68864]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ManagedPC]
2009-03-08 02:32        128512        ----a-w-        c:\windows\system32\advpack.dll
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = https://inside.nokiasiemensnetworks.com/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: I&M Chat - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_imscript.htm
IE: V&oice Call - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_voicescript.htm
IE: Vi&deo Call - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_videoscript.htm
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
HKLM-Run-MCDesk - %MgmtFolder%\MCDesk.exe %MgmtFolder%\MCDesk.ini
Notify-TPSvc - TPSvc.dll
SafeBoot-WudfPf
SafeBoot-WudfRd
HKLM_ActiveSetup-{6266C217-EE5C-40AE-822D-A258469BC472} - msiexec
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-18 17:52
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteintr‰ge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\VBoxMRXNP.dll
.
Zeit der Fertigstellung: 2013-03-18  17:53:32
ComboFix-quarantined-files.txt  2013-03-18 16:53
.
Vor Suchlauf: 11,121,713,152 bytes free
Nach Suchlauf: 11,659,583,488 bytes free
.
- - End Of File - - 7167C38DE5D41620DFC9891A41DD579A
--- --- ---

aharonov 19.03.2013 16:05
Zitat:
Versuch mal das und schau, ob du danach wieder normal nach Windows starten kannst.
Kannst du das?

sontik 19.03.2013 16:18
habe es erneut versucht, diesmal mit Internet Verbindung, und Wiederherstellungskonsole.
Er hat zwar gemeldet, dass er keinen Wiederherstellungspunkt erstellen konnte, aber ich konnten nach restart wieder normal hochfahren... Danke für den Support !!!

aharonov 19.03.2013 16:24
Dann mach noch einen OTL-Scan im normalen Modus:


Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.

aharonov 23.03.2013 01:08
Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

aharonov 24.03.2013 00:27
Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19