|
Plagegeister aller Art und deren Bekämpfung: gvu virus, win xpWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.05.2012, 11:10 | #16 |
/// Malwareteam | gvu virus, win xp Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
01.06.2012, 06:54 | #17 |
/// Malwareteam | gvu virus, win xp Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
__________________ |
01.06.2012, 16:55 | #18 |
| gvu virus, win xp Sorry, mein Internet macht grad Probleme, ich arbeite noch an der Combofix-Sache.
__________________ |
03.06.2012, 22:44 | #19 |
/// Malwareteam | gvu virus, win xp OK, ich warte
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
05.06.2012, 16:16 | #20 |
| gvu virus, win xp So, puh, das hat gedauert. Also, die echten beiden Schritte gingen ja recht flott, aber gell, da kann ich nix von posten? Weil, ich's hab's doch irgendwann noch geschafft, lange genug im Internet zu bleiben, dass combofix diese Wiederherstellungskonsole runterladen konnte. Da steht dann, dass combofix einen Scan ausführen wird, der 10 Minuten oder halt ein bissle länger dauert, aber ich hab's mehrmals versucht, es tut sich dabei nix, was ich erkennen könnte. Hab's bis über vier Stunden laufen lassen, da kommt weder ein Scanbericht, noch kann ich überhaupt erkennen, dass ein Fortschritt gemacht wird. |
05.06.2012, 16:29 | #21 |
/// Malwareteam | gvu virus, win xp Starte den Computer im abgesicherten Modus und versuche Combofix erneut! Abgesicherter Modus zur Bereinigung
__________________ --> gvu virus, win xp |
06.06.2012, 08:52 | #22 |
| gvu virus, win xp Ah gut, es hat geklappt. Combofix hat vorher angekündigt, dass es abgelaufen sei, aber da ich in der letzten Zeit nicht im Netz war mit dem PC, außer eben um mit Combofix diese Wiederherstellungskonsole zu laden, hab ich mal angenommen, dass das nicht so schlimm ist und es ignoriert. Code:
ATTFilter ComboFix 12-05-30.04 - Witwe 06.06.2012 9:31.1.1 - x86 NETWORK Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.260 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Witwe\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} . - REDUZIERTER FUNKTIONALITÄTSMODUS - . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Administrator.GLOMBATSCH.000\Anwendungsdaten\Iexploreder.exe c:\dokumente und einstellungen\Administrator.GLOMBATSCH.000\WINDOWS c:\dokumente und einstellungen\Administrator.GLOMBATSCH\Anwendungsdaten\Iexploreder.exe c:\dokumente und einstellungen\Administrator.GLOMBATSCH\WINDOWS c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Iexploreder.exe c:\dokumente und einstellungen\Administrator\WINDOWS c:\dokumente und einstellungen\Default User\WINDOWS c:\dokumente und einstellungen\Trunkenbold\WINDOWS c:\dokumente und einstellungen\Witwe\WINDOWS c:\programme\xp-AntiSpy c:\programme\xp-AntiSpy\Uninstall.exe c:\programme\xp-AntiSpy\xp-AntiSpy.chm c:\programme\xp-AntiSpy\xp-AntiSpy.exe c:\programme\xp-AntiSpy\xp-AntiSpy.url c:\windows\EventSystem.log c:\windows\system32\avisynth.dll c:\windows\system32\config\systemprofile\WINDOWS c:\windows\system32\devil.dll c:\windows\system32\Thumbs.db . . ((((((((((((((((((((((( Dateien erstellt von 2012-05-06 bis 2012-06-06 )))))))))))))))))))))))))))))) . . 2012-05-21 17:20 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe 2012-05-21 17:20 . 2012-05-21 17:20 -------- d-----w- C:\_OTL 2012-05-21 17:11 . 2012-05-21 17:11 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2012-05-11 11:21 . 2004-08-04 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll 2012-05-11 11:21 . 2004-08-04 12:00 13824 ----a-w- c:\windows\system32\irclass.dll 2012-05-11 11:21 . 2004-08-04 12:00 14043 ----a-r- c:\windows\SET4B.tmp 2012-05-11 11:21 . 2004-08-04 12:00 1086058 ----a-r- c:\windows\SET3F.tmp 2012-05-11 11:21 . 2004-08-04 12:00 1014663 ----a-r- c:\windows\SET3C.tmp 2012-05-08 14:42 . 2004-08-04 12:00 16384 ----a-w- c:\programme\Internet Explorer\Connection Wizard\isignup.exe 2012-05-08 14:40 . 2004-08-03 23:11 82944 ----a-w- c:\programme\Messenger\msgsc.dll 2012-05-08 14:40 . 2004-08-03 23:11 180224 ----a-w- c:\programme\Messenger\msgslang.dll 2012-05-08 14:40 . 2004-08-03 23:11 1667584 ------w- c:\programme\Messenger\msmsgs.exe 2012-05-08 14:40 . 2004-08-04 12:00 28672 ----a-w- c:\programme\Messenger\custsat.dll 2012-05-08 14:29 . 2004-08-04 12:00 14043 ----a-r- c:\windows\SET114.tmp 2012-05-08 14:29 . 2004-08-04 12:00 1086058 ----a-r- c:\windows\SET108.tmp 2012-05-08 14:28 . 2004-08-04 12:00 1014663 ----a-r- c:\windows\SET105.tmp 2012-05-07 17:56 . 2012-06-06 07:32 -------- d-----w- c:\dokumente und einstellungen\Administrator 2012-05-07 17:28 . 2012-06-06 07:32 -------- d-----w- c:\dokumente und einstellungen\Trunkenbold . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-03 19:45 . 2005-06-23 10:10 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2012-05-04 20:24 . 2012-03-30 10:04 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-05-04 20:24 . 2011-05-14 08:41 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-05-04 08:47 . 2011-05-13 12:54 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "nwiz"="nwiz.exe" [2005-04-01 1495040] "Dit"="Dit.exe" [2004-07-20 90112] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952] "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363] "Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Shell"="explorer.exe," . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "25542:UDP"= 25542:UDP:UDP 25542 "28695:TCP"= 28695:TCP:TCP 28695 . S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360] S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856] S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408] S3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59bb4c14-3234-11e0-9c98-806d6172696f}] \Shell\AutoRun\command - G:\setup.exe . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a04dcab8-c7e9-11e0-9d9d-00040ec87e36}] \Shell\AutoRun\command - H:\reatogoMenu.exe . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab63c894-329d-11e0-9c99-0013d32726df}] \Shell\AutoRun\command - H:\pushinst.exe . Inhalt des "geplante Tasks" Ordners . 2012-06-03 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi.com/ uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600 FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\ FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/ FF - prefs.js: network.proxy.type - 4 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-Spotify - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Spotify\Spotify.exe HKLM-Run-Cmaudio - cmicnfg.cpl HKLM-Run-MSPY2002 - c:\windows\system32\IME\PINTLGNT\ImScInst.exe HKLM-Run-PHIME2002ASync - c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE HKLM-Run-PHIME2002A - c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-06-06 09:33 Windows 5.1.2600 Service Pack 2 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . Zeit der Fertigstellung: 2012-06-06 09:35:37 ComboFix-quarantined-files.txt 2012-06-06 07:35 . Vor Suchlauf: 2.738.520.064 Bytes frei Nach Suchlauf: 2.807.291.904 Bytes frei . - - End Of File - - 63664B75F5F1B4ADEACF94F0DE0D912A |
06.06.2012, 08:54 | #23 |
/// Malwareteam | gvu virus, win xp Aktualisiere Combofix und führe es erneut aus!
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
06.06.2012, 17:41 | #24 |
| gvu virus, win xp Alles klar.^^; Diesmal brauchte ich den abgesicherten Modus interessanterweise nicht. Code:
ATTFilter ComboFix 12-06-05.04 - Witwe 06.06.2012 15:39:04.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.150 [GMT 2:00] ausgeführt von:: H:\ComboFix.exe AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\IsUn0407.exe c:\windows\unin0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-05-06 bis 2012-06-06 )))))))))))))))))))))))))))))) . . 2012-05-21 17:20 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe 2012-05-21 17:20 . 2012-05-21 17:20 -------- d-----w- C:\_OTL 2012-05-21 17:11 . 2012-05-21 17:11 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2012-05-11 11:21 . 2004-08-04 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll 2012-05-11 11:21 . 2004-08-04 12:00 13824 ----a-w- c:\windows\system32\irclass.dll 2012-05-11 11:21 . 2004-08-04 12:00 14043 ----a-r- c:\windows\SET4B.tmp 2012-05-11 11:21 . 2004-08-04 12:00 1086058 ----a-r- c:\windows\SET3F.tmp 2012-05-11 11:21 . 2004-08-04 12:00 1014663 ----a-r- c:\windows\SET3C.tmp 2012-05-08 14:42 . 2004-08-04 12:00 16384 ----a-w- c:\programme\Internet Explorer\Connection Wizard\isignup.exe 2012-05-08 14:40 . 2004-08-03 23:11 82944 ----a-w- c:\programme\Messenger\msgsc.dll 2012-05-08 14:40 . 2004-08-03 23:11 180224 ----a-w- c:\programme\Messenger\msgslang.dll 2012-05-08 14:40 . 2004-08-03 23:11 1667584 ------w- c:\programme\Messenger\msmsgs.exe 2012-05-08 14:40 . 2004-08-04 12:00 28672 ----a-w- c:\programme\Messenger\custsat.dll 2012-05-08 14:29 . 2004-08-04 12:00 14043 ----a-r- c:\windows\SET114.tmp 2012-05-08 14:29 . 2004-08-04 12:00 1086058 ----a-r- c:\windows\SET108.tmp 2012-05-08 14:28 . 2004-08-04 12:00 1014663 ----a-r- c:\windows\SET105.tmp 2012-05-07 17:56 . 2012-06-06 07:32 -------- d-----w- c:\dokumente und einstellungen\Administrator 2012-05-07 17:28 . 2012-06-06 07:32 -------- d-----w- c:\dokumente und einstellungen\Trunkenbold . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-06 09:32 . 2005-06-23 10:10 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2012-05-04 20:24 . 2012-03-30 10:04 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-05-04 20:24 . 2011-05-14 08:41 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-05-04 08:47 . 2011-05-13 12:54 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((( SnapShot@2012-06-06_07.33.22 ))))))))))))))))))))))))))))))))))))))))) . + 2012-06-06 07:41 . 2012-06-06 07:41 16384 c:\windows\temp\Perflib_Perfdata_510.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "nwiz"="nwiz.exe" [2005-04-01 1495040] "Dit"="Dit.exe" [2004-07-20 90112] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952] "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363] "Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "25542:UDP"= 25542:UDP:UDP 25542 "28695:TCP"= 28695:TCP:TCP 28695 . R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] . Inhalt des "geplante Tasks" Ordners . 2012-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi.com/ uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600 FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\ FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/ FF - prefs.js: network.proxy.type - 4 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . AddRemove-Cultures - Die Entdeckung Vinlands - c:\windows\IsUn0407.exe AddRemove-KeyStat - c:\windows\unin0407.exe AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-06-06 15:49 Windows 5.1.2600 Service Pack 2 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . Zeit der Fertigstellung: 2012-06-06 15:52:52 ComboFix-quarantined-files.txt 2012-06-06 13:52 ComboFix2.txt 2012-06-06 07:35 . Vor Suchlauf: 2.201.612.288 Bytes frei Nach Suchlauf: 2.125.123.584 Bytes frei . - - End Of File - - 3AA1F3E65584DEF1E4EAFF739A96EE22 |
11.06.2012, 07:03 | #25 | |
/// Malwareteam | gvu virus, win xpZitat:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
13.06.2012, 08:49 | #26 |
/// Malwareteam | gvu virus, win xp Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
13.06.2012, 15:35 | #27 |
| gvu virus, win xp Wenn ich die Ports geöffnet habe, dann zumindest nicht bewusst, da ich keine Ahnung habe, wie das geht. |
14.06.2012, 08:04 | #28 |
/// Malwareteam | gvu virus, win xp Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter REGISTRY:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "25542:UDP"=- "28695:TCP"=- CLEARJAVACACHE:: Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
18.06.2012, 08:32 | #29 |
/// Malwareteam | gvu virus, win xp Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
18.06.2012, 21:50 | #30 |
| gvu virus, win xp Sorry, hätte mal kurz Zwischenmeldung machen sollen. Hatte Probleme, Combofix neu auf den Desktop zu bekommen. Mittlerweile muss ich Pause machen, weil ich erst frühestens morgen wieder an den Rechner kann. Hoffe ich. ^^; So, hat mal wieder Stunden gedauert, mittlerweile glaub ich, diese 10 Minuten, die Combofix einem da immer verspricht, sind reiner Hohn.^^ Code:
ATTFilter ComboFix 12-06-19.01 - Witwe 19.06.2012 17:06:06.3.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.247 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Witwe\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Witwe\Desktop\CFScript.txt AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . . ((((((((((((((((((((((( Dateien erstellt von 2012-05-19 bis 2012-06-19 )))))))))))))))))))))))))))))) . . 2012-05-21 17:20 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe 2012-05-21 17:20 . 2012-05-21 17:20 -------- d-----w- C:\_OTL 2012-05-21 17:11 . 2012-05-21 17:11 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-19 09:15 . 2005-06-23 10:10 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2012-05-04 20:24 . 2012-03-30 10:04 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-05-04 20:24 . 2011-05-14 08:41 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-05-04 08:47 . 2011-05-13 12:54 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((( SnapShot@2012-06-06_07.33.22 ))))))))))))))))))))))))))))))))))))))))) . + 2012-06-19 09:14 . 2012-06-19 09:14 16384 c:\windows\temp\Perflib_Perfdata_51c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "nwiz"="nwiz.exe" [2005-04-01 1495040] "Dit"="Dit.exe" [2004-07-20 90112] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952] "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363] "Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"= . R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] . Inhalt des "geplante Tasks" Ordners . 2012-06-19 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi.com/ uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600 FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\ FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/ FF - prefs.js: network.proxy.type - 4 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-06-19 17:17 Windows 5.1.2600 Service Pack 2 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'explorer.exe'(1684) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2012-06-19 17:21:02 ComboFix-quarantined-files.txt 2012-06-19 15:20 ComboFix2.txt 2012-06-06 13:52 ComboFix3.txt 2012-06-06 07:35 . Vor Suchlauf: 2.239.414.272 Bytes frei Nach Suchlauf: 2.131.443.712 Bytes frei . - - End Of File - - 1DFE28B94BF0285FB4DC19FAB8E41A09 Code:
ATTFilter 2012/06/19 11:14:25 +0200 GLOMBATSCH MESSAGE Executing scheduled update: Daily 2012/06/19 11:14:26 +0200 GLOMBATSCH ERROR Scheduled update failed: No address found failed with error code 11004 2012/06/19 17:43:19 +0200 GLOMBATSCH Witwe MESSAGE Starting protection 2012/06/19 17:43:34 +0200 GLOMBATSCH Witwe MESSAGE Protection started successfully 2012/06/19 17:43:37 +0200 GLOMBATSCH Witwe MESSAGE Starting IP protection 2012/06/19 17:43:43 +0200 GLOMBATSCH Witwe MESSAGE IP Protection started successfully 2012/06/19 17:47:37 +0200 GLOMBATSCH Witwe MESSAGE Starting database refresh 2012/06/19 17:47:38 +0200 GLOMBATSCH Witwe MESSAGE Stopping IP protection 2012/06/19 17:47:47 +0200 GLOMBATSCH Witwe MESSAGE IP Protection stopped 2012/06/19 17:49:40 +0200 GLOMBATSCH Witwe MESSAGE Database refreshed successfully 2012/06/19 17:49:40 +0200 GLOMBATSCH Witwe MESSAGE Starting IP protection 2012/06/19 17:49:52 +0200 GLOMBATSCH Witwe MESSAGE IP Protection started successfully 2012/06/19 18:47:08 +0200 GLOMBATSCH MESSAGE Starting protection 2012/06/19 18:47:30 +0200 GLOMBATSCH Witwe MESSAGE Protection started successfully 2012/06/19 18:47:33 +0200 GLOMBATSCH Witwe MESSAGE Starting IP protection 2012/06/19 18:47:41 +0200 GLOMBATSCH Witwe MESSAGE IP Protection started successfully 2012/06/19 20:07:22 +0200 GLOMBATSCH Witwe MESSAGE Starting protection 2012/06/19 20:07:35 +0200 GLOMBATSCH Witwe MESSAGE Protection started successfully 2012/06/19 20:07:38 +0200 GLOMBATSCH Witwe MESSAGE Starting IP protection 2012/06/19 20:07:45 +0200 GLOMBATSCH Witwe MESSAGE IP Protection started successfully |
Themen zu gvu virus, win xp |
.dll, adobe, antivir, avira, bho, browser, cdburnerxp, computer, desktop, disabletaskmgr, einstellungen, error, explorer, firefox, flash player, format, gvu virus, hdaudio.sys, infizierte, internet, launch, logfile, mozilla, nvidia, plug-in, registry, server, software, stick, virus, windows xp |