|
Plagegeister aller Art und deren Bekämpfung: GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.06.2012, 16:25 | #1 |
| GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? Hallo, mein Vater hat sich leider den GUV Virus/Trojaner eingefangen. Ich habe mittels OTLPE CD die OTL.txt erstellt (nach Angaben aus dem Forum) und diese nun bei mir auf einem USB Stick. Wie verfahre ich nun weiter und wie kann ich die OTL.txt hier einstellen ? Über jede Hilfe bin ich sehr dankbar. System Windows XP, SP3 |
07.06.2012, 17:24 | #2 |
/// Malware-holic | GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? hi
__________________na wie wäre es wenn du sie postest :-) sonst können wir kaum ersehen was drinn steht.
__________________ |
07.06.2012, 19:32 | #3 |
| GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? Ok, dann versuche ich sie mal direkt zu posten. Allerdings konnte ich nur die OTL.txt finden. Hilft das weiter ?OTL Logfile:
__________________Code:
ATTFilter OTL logfile created on: 6/6/2012 7:02:51 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy 511.00 Mb Total Physical Memory | 321.00 Mb Available Physical Memory | 63.00% Memory free 459.00 Mb Paging File | 341.00 Mb Available in Paging File | 74.00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 111.78 Gb Total Space | 91.34 Gb Free Space | 81.71% Space Free | Partition Type: NTFS Drive D: | 245.96 Mb Total Space | 244.13 Mb Free Space | 99.25% Space Free | Partition Type: FAT Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand] -- -- (de_serv) SRV - File not found [Auto] -- -- (Automatisches LiveUpdate - Scheduler) SRV - [2012/05/05 12:05:28 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012/04/30 16:03:50 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012/02/23 07:45:31 | 000,690,352 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Auto] -- C:\Program Files\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 8.0 OnlineUpdate) SRV - [2011/05/23 06:26:25 | 000,061,088 | ---- | M] (F-Secure Corporation) [On_Demand] -- C:\Program Files\Vodafone-Sicherheitspaket\ORSP Client\fsorsp.exe -- (FSORSPClient) SRV - [2011/05/10 08:44:52 | 000,522,848 | ---- | M] (F-Secure Corporation) [On_Demand] -- C:\Program Files\Vodafone-Sicherheitspaket\FWES\Program\fsdfwd.exe -- (FSDFWD) SRV - [2009/10/21 12:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto] -- C:\Program Files\T-Online\Dialerschutz-Software\DFInject.exe -- (DFSVC) SRV - [2009/08/05 11:58:52 | 000,186,976 | ---- | M] (F-Secure Corporation) [Auto] -- C:\Program Files\Vodafone-Sicherheitspaket\Common\FSMA32.EXE -- (FSMA) SRV - [2009/08/05 11:56:10 | 000,215,648 | ---- | M] (F-Secure Corporation) [Auto] -- C:\Program Files\Vodafone-Sicherheitspaket\Anti-Virus\fsgk32st.exe -- (F-Secure Gatekeeper Handler Starter) SRV - [2008/10/24 11:35:44 | 000,128,296 | ---- | M] () [Auto] -- C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (xpsec) DRV - File not found [Kernel | On_Demand] -- -- (xcpip) DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (SymIMMP) DRV - File not found [Kernel | On_Demand] -- -- (SymIM) DRV - File not found [Kernel | On_Demand] -- -- (SipIMNDI) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2012/05/29 04:58:10 | 000,149,672 | ---- | M] () [Kernel | On_Demand] -- C:\Program Files\Vodafone-Sicherheitspaket\Anti-Virus\minifilter\fsgk.sys -- (F-Secure Gatekeeper) DRV - [2012/05/09 06:24:56 | 000,044,184 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\fsbts.sys -- (fsbts) DRV - [2011/05/10 08:45:53 | 000,082,120 | ---- | M] (F-Secure Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\fsdfw.sys -- (FSFW) DRV - [2010/08/27 08:23:08 | 000,019,200 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\MTOnlPktAlyx.sys -- (MTOnlPktAlyX) DRV - [2009/10/15 12:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand] -- C:\Program Files\T-Online\Dialerschutz-Software\DFSYS.sys -- (DFSYS) DRV - [2009/08/05 11:58:30 | 000,068,064 | ---- | M] (F-Secure Corporation) [Kernel | System] -- C:\Program Files\Vodafone-Sicherheitspaket\HIPS\drivers\fshs.sys -- (F-Secure HIPS) DRV - [2008/04/13 14:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm) DRV - [2006/10/09 08:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Program Files\Common Files\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX) DRV - [2001/08/23 03:33:10 | 000,010,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ipfilter.sys -- (IPFilter) DRV - [2001/08/17 08:50:26 | 000,731,648 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nv4.sys -- (nv4) DRV - [2000/02/08 05:33:28 | 000,016,288 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\SCFBPNT.SYS -- (ScFBPNT) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Hei_und_Uli_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Ask.com Deutschland - die andere Suchmaschine IE - HKU\Hei_und_Uli_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\Hei_und_Uli_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de" FF - prefs.js..extensions.enabledItems: litmus-ff@f-secure.com:1.10 FF - prefs.js..keyword.URL: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_DE&apn_uid=3269BC20-8B89-4565-BD4C-B8BEC36FA15D&apn_ptnrs=PV&apn_sauid=77B5B0C4-CCB2-4DFE-8988-5E9A660D7C92&apn_dtid=YYYYYYYYDE&&q=" FF - prefs.js..network.proxy.type: 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\litmus-ff@f-secure.com: C:\Program Files\Vodafone-Sicherheitspaket\NRS\litmus-ff@f-secure.com [2012/04/23 04:21:51 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/04/30 16:03:50 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/08/20 07:10:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2011/03/09 12:05:42 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Extensions [2011/03/09 05:40:21 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2012/05/02 11:25:37 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Firefox\Profiles\ujb21ggl.default\extensions [2012/05/26 02:52:27 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Firefox\Profiles\ujb21ggl.default\extensions\toolbar@ask.com [2012/02/11 11:12:34 | 000,000,000 | ---D | M] (toolplugin) -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Firefox\Profiles\ujb21ggl.default\extensions\welcome@toolmin.com [2012/05/31 17:06:09 | 000,002,401 | ---- | M] () -- C:\Documents and Settings\Hei und Uli\Application Data\Mozilla\Firefox\Profiles\ujb21ggl.default\searchplugins\askcom.xml [2011/06/29 11:47:01 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions File not found (No name found) -- [2012/04/23 04:21:51 | 000,000,000 | ---D | M] ("Browsing Protection") -- C:\PROGRAM FILES\VODAFONE-SICHERHEITSPAKET\NRS\LITMUS-FF@F-SECURE.COM [2011/08/15 02:34:30 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2012/04/30 16:03:47 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2012/03/26 06:43:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/03/26 06:43:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2012/03/26 06:43:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2012/03/26 06:43:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2012/02/11 11:12:34 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012/03/26 06:43:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2012/03/26 06:43:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2001/08/23 08:00:00 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O2 - BHO: (Browsing Protection Class) - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Program Files\Vodafone-Sicherheitspaket\NRS\iescript\baselitmus.dll (F-Secure Corporation) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKLM\..\Toolbar: (Browsing Protection Toolbar) - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\Vodafone-Sicherheitspaket\NRS\iescript\baselitmus.dll (F-Secure Corporation) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\Hei_und_Uli_ON_C\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKU\Hei_und_Uli_ON_C\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKU\Hei_und_Uli_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKU\Hei_und_Uli_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM..\Run: [F-Secure Manager] C:\Program Files\Vodafone-Sicherheitspaket\Common\FSM32.EXE (F-Secure Corporation) O4 - HKLM..\Run: [F-Secure TNB] C:\Program Files\Vodafone-Sicherheitspaket\FSGUI\TNBUtil.exe (F-Secure Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [POINTER] File not found O4 - HKLM..\Run: [ZjHxBovKZKNmF9z] C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O4 - HKU\Hei_und_Uli_ON_C..\Run: [{05510112-908C-A921-D69E-A1163F09832D}] File not found O4 - HKU\Hei_und_Uli_ON_C..\Run: [default] C:\Documents and Settings\Hei und Uli\Application Data\default\bin.exe () O4 - HKU\Hei_und_Uli_ON_C..\Run: [HB60Remind] C:\Program Files\T-Online\T-Online_Software_6\Banking\HB60Remind.exe (fun communications GmbH) O4 - HKU\Hei_und_Uli_ON_C..\Run: [Vohyuq] C:\Documents and Settings\Hei und Uli\Application Data\Uvyz\ezulo.exe (Microsoft Corporation) O4 - HKU\Hei_und_Uli_ON_C..\Run: [ZjHxBovKZKNmF9z] C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.) O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Vodafone-Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Vodafone-Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Vodafone-Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files\Vodafone-Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://www.apple.com/qtactivex/qtplugin.cab (QuickTime Plugin Control) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182515186153 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://javadl-esd.sun.com/update/1.3.1/jinstall-13-win32.cab (Java Plug-in ) O16 - DPF: {CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-1_3_1_18-windows-i586.cab (Java Plug-in 1.3.1_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll () O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKU\Hei_und_Uli_ON_C Winlogon: Shell - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKU\Hei_und_Uli_ON_C Winlogon: UserInit - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O24 - Desktop WallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007/06/22 06:36:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012/06/01 08:23:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Hei und Uli\Application Data\Uvyz [2012/06/01 08:23:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Hei und Uli\Application Data\Saop [2012/06/01 08:23:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Hei und Uli\Application Data\Okogv [2012/06/01 08:04:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Hei und Uli\Application Data\default [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012/06/06 10:22:42 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012/06/06 10:22:26 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012/06/06 10:22:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012/06/06 10:22:03 | 536,186,880 | -HS- | M] () -- C:\hiberfil.sys [2012/06/02 02:56:02 | 000,000,246 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012/06/02 02:55:58 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012/06/02 00:05:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012/06/01 23:03:24 | 000,243,712 | ---- | M] () -- C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe [2012/06/01 09:51:38 | 000,003,415 | ---- | M] () -- C:\Documents and Settings\Hei und Uli\plugin131_18.trace [2012/05/30 10:30:03 | 000,002,487 | ---- | M] () -- C:\Documents and Settings\All Users\Start Menu\Programs\Microsoft Excel.lnk [2012/05/12 05:20:48 | 000,118,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012/05/11 18:35:50 | 000,439,912 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012/05/11 18:35:50 | 000,070,984 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012/05/11 18:28:21 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012/05/09 15:42:58 | 000,002,489 | ---- | M] () -- C:\Documents and Settings\All Users\Start Menu\Programs\Microsoft Word.lnk [2012/05/09 06:24:56 | 000,044,184 | ---- | M] () -- C:\WINDOWS\System32\drivers\fsbts.sys [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/06/01 23:03:27 | 000,243,712 | ---- | C] () -- C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe [2012/02/16 11:35:39 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011/05/10 08:22:46 | 000,044,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys [2011/05/10 08:10:26 | 000,007,199 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\N360BUOptions.ini [2011/03/09 05:40:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010/12/22 06:21:15 | 000,003,415 | ---- | C] () -- C:\Documents and Settings\Hei und Uli\plugin131_18.trace [2010/12/22 06:21:01 | 000,020,576 | ---- | C] () -- C:\WINDOWS\System32\javaw.exe [2010/12/22 06:21:01 | 000,020,574 | ---- | C] () -- C:\WINDOWS\System32\java.exe [2010/12/22 06:20:53 | 000,036,972 | ---- | C] () -- C:\WINDOWS\System32\ActPanel.dll [2009/09/30 07:05:48 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v60.dll [2009/03/25 06:15:03 | 000,016,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\SCFBPNT.SYS [2008/10/30 13:00:22 | 000,048,640 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v60.dll [2008/10/30 12:59:24 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v60.dll [2008/08/28 05:16:49 | 000,007,680 | ---- | C] () -- C:\Documents and Settings\Hei und Uli\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007/07/06 00:25:45 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007/06/22 10:59:45 | 000,000,376 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007/06/22 10:33:40 | 000,000,090 | ---- | C] () -- C:\WINDOWS\HBUser.ini [2007/06/22 09:05:20 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2007/06/22 08:00:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2007/06/22 07:59:34 | 000,118,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007/06/22 06:39:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2007/06/22 06:31:51 | 000,021,640 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004/12/14 12:55:22 | 000,000,019 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [2004/12/14 12:55:22 | 000,000,019 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2004/12/14 12:55:22 | 000,000,019 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2001/08/23 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001/08/23 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001/08/23 08:00:00 | 000,439,912 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001/08/23 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001/08/23 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001/08/23 08:00:00 | 000,070,984 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001/08/23 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001/08/23 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001/08/23 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001/08/23 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2001/08/23 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [1996/09/11 18:00:00 | 000,000,057 | ---- | C] () -- C:\WINDOWS\GLFHELP.INI [1995/03/21 18:00:00 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\IYVU9_32.DLL ========== LOP Check ========== [2012/06/01 08:04:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\default [2011/08/10 05:52:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\ElevatedDiagnostics [2011/06/12 03:36:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Enlaa [2012/01/09 17:58:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\F-Secure [2012/06/01 08:23:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Okogv [2012/06/01 08:54:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Saop [2007/06/22 10:24:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\T-Online [2011/03/09 05:39:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Thunderbird [2012/02/16 13:08:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\toolplugin [2011/06/12 03:32:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Ukicg [2012/06/01 08:23:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\Uvyz [2010/09/25 09:41:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hei und Uli\Application Data\vShare [2010/12/13 04:57:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AAV [2011/05/10 08:21:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\f-secure [2011/05/10 08:19:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\fssg [2011/02/17 04:29:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\StarMoney 7.0 [2011/03/17 13:25:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\StarMoney 8.0 [2010/10/29 00:35:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\T-Online [2010/09/06 13:06:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\T-Online_Software_6 [2009/03/25 06:07:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\WinZip [2009/05/19 10:27:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} [2012/06/02 02:56:02 | 000,000,246 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job ========== Purity Check ========== < End of report > |
11.06.2012, 11:17 | #4 |
| GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? Hallo, habe erst jetzt gesehen, wie man einen Anhang "richtig" anhängt. Vielleicht war das der Fehler, warum noch keiner geantwortet hat. Ich hoffe nun, dass ich die OTL nun richtig angehängt habe. Über eine Hilfe wäre ich sehr dankbar ! Anhang 36016 |
12.06.2012, 16:59 | #5 |
/// Malware-holic | GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL O4 - HKU\Hei_und_Uli_ON_C..\Run: [Vohyuq] C:\Documents and Settings\Hei und Uli\Application Data\Uvyz\ezulo.exe (Microsoft Corporation) O4 - HKU\Hei_und_Uli_ON_C..\Run: [ZjHxBovKZKNmF9z] C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O4 - HKLM..\Run: [ZjHxBovKZKNmF9z] C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\Hei_und_Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKU\Hei_und_Uli_ON_C Winlogon: Shell - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () O20 - HKU\Hei_und_Uli_ON_C Winlogon: UserInit - (C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe) - C:\Documents and Settings\Hei und Uli\Application Data\AMD_cpx.exe () :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. sorry für die wartezeit
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
12.06.2012, 18:13 | #6 |
| GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? ok, habe den fix eintragen können und laufen lassen. sah alles gut aus. dann beim abschalten und rebooten hat er sich aufgehängt. dann habe ich manuell abgeschaltet und nun bootet windows, aber nur bis zum hintergrundbild des desktops. dann kommt keine aktion mehr. solle ich nochmals von der cd booten und alles wiederholen ? Hallo nochmals, habe alles nochmals durchführt und es kommt die Meldung: Processing complete! Do you want to reboot, dann habe ich yes gedrückt, aber seitdem steht der PC.... habe noch weiter versucht und alles nochmals gemacht. dann pc über shut down abgeschaltet, nachdem er nicht von alleine gebootet ist. nun erscheint auch die taskbar, aber alle short cuts des desktops erscheinen nun als desktop toolbar in der taskbar leiste. die otl.txt kann ich nirgends finden. weiss momentan dann auch nicht mehr weiter... gibt es noch weitere hinweise ? bin sehr sehr dankbar ! Geändert von Hong Kong (12.06.2012 um 18:45 Uhr) |
13.06.2012, 14:24 | #7 |
| GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? Hallo Markusg, nachdem der Desktop nicht normal erschien, habe ich eine Systemwiederherstellung auf Mitte Mai gemacht. Diese hat funktioniert und der Rechner sieht wie früher aus. Dann habe ich Malwarebytes gemäss eurer Anleitung ausgeführt mit Funden. Hänge ich gleich an. Wie in der Anleitung beschrieben, habe ich auch die Funde entfernt. Habe bei dem gefundenen Trojaner gelesen, dass das System neu aufgesetzt werden muss. Könntest du den Bericht bitte anschauen und mir dann weitere Schritte aufzeigen ? Herzlichen Dank im Voraus, Martina |
Themen zu GUV Virus, OTL.txt erstellt, wie verfahre ich weiter ? |
einstellen, erstell, erstellt, forum, guv virus, otl.txt, otlpe, sp3, stelle, usb, vater, virus, virus/trojaner, windows, windows xp |