| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.07.2012, 16:08
| #1 |
| |  WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Hallo, super das es so ein Forum gibt wo einem geholfen werden kann Mein Bruder hats erwischt mit dem GVU Trojaner 2.07! Man startet den Laptop und zack nach dem Windows geladen hat, kommt der besagte GVU Trojaner zum Einsatz und man kann nix mehr machen. Habe zuerst probiert mit dieser Kaspersky Rescue CD das zu machen, aber das bringt bei der Version ja gar nix wie ich heraus gefunden habe Der Laptop hat sich jetzt aber trotzdem normal starten lassen....warum auch immer....und ich habe die Gelegenheit genutzt mit OCT den Scan durch zu führen. Die beiden Dateien sind im Anhang... Und wo er schon mal gerade an war, habe ich direkt mit Malwarebytes den Scan gemacht. Der läuft allerdings noch. Mitten drin kam dann mal wieder der GVU Trojaner und ich dachte mir...GEIL! Also wollte ich ihn neustarten und als ich auf die Powertaste drücke verschwindet der GVU Trojaner wieder und alles lief normal weiter. Komisches Ding... Hier schonmal die Logfiles vom OCT! Vielleicht kann mir damit schon wer weiter helfen...wäre SUPER! |
|
15.07.2012, 17:32
| #2 |
| /// Helfer-Team  | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
MOD - C:\Users\MIKEUN~1\AppData\Local\Temp\fest0r_ot.exe ()
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACPW
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-us.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes,DefaultScope = {66A17E61-54C3-4C4B-8730-CD6ED1257455}
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://search-us.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{2DDF589F-8765-4545-84B3-414FBAFA0578}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ACPW_deDE342DE342
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{66A17E61-54C3-4C4B-8730-CD6ED1257455}: "URL" = http://search.softonic.com/MON00015/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACPW
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rlz=1I7ACPW_deDE342DE342&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Bing"
FF - prefs.js..browser.startup.homepage: "http://t-online.de"
FF - prefs.js..extensions.enabledItems: linkuryfirefoxremoteplugin@linkury.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..keyword.URL: "http://search.softonic.com/MON00015/tb_v1?SearchSource=2&cc=&q="
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] c:\Program Files\CyberLink\PowerDVD8\Language\Language.exe ()
O4 - HKLM..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe ()
O4 - HKU\S-1-5-21-3567116186-934676016-3338398301-1000..\Run: [KiesPDLR] C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - HKU\S-1-5-21-3567116186-934676016-3338398301-1000..\Run: [Userinit] C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O32 - HKLM CDRom: AutoRun - 1
[2008.12.09 17:23:13 | 000,053,704 | RHS- | C] () -- C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe
[2012.07.15 15:44:00 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.15 15:34:22 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.15 14:35:13 | 004,503,728 | ---- | M] () -- C:\ProgramData\to_r0tsef.pad
[2012.07.15 14:02:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.15 12:50:19 | 000,001,891 | ---- | M] () -- C:\Users\Mike und Caro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.07.15 12:50:19 | 004,503,728 | ---- | C] () -- C:\ProgramData\to_r0tsef.pad
[2012.07.15 12:50:19 | 000,001,891 | ---- | C] () -- C:\Users\Mike und Caro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.06.15 21:15:36 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2008.12.09 17:23:13 | 000,053,704 | RHS- | C] () -- C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________ |
|
15.07.2012, 19:23
| #3 |
| | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! So, erstmal danke für die Hilfe. Hab ich gemacht. Hat alles funktioniert! Bisher keine Spur mehr von dem Trojaner nach dem ich den Fix gemacht habe und nachdem ich bei dem Malwarescanner alle Funde gelöscht habe. TOP!! Hier das Logfile:
__________________All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKU\S-1-5-21-3567116186-934676016-3338398301-1000\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{2DDF589F-8765-4545-84B3-414FBAFA0578}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DDF589F-8765-4545-84B3-414FBAFA0578}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{66A17E61-54C3-4C4B-8730-CD6ED1257455}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66A17E61-54C3-4C4B-8730-CD6ED1257455}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found. Registry key HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. HKU\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKU\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully! Prefs.js: false removed from browser.search.update Prefs.js: "ICQ Search" removed from browser.search.defaultenginename Prefs.js: "Bing" removed from browser.search.selectedEngine Prefs.js: "hxxp://t-online.de" removed from browser.startup.homepage Prefs.js: linkuryfirefoxremoteplugin@linkury.com:1.0 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 removed from extensions.enabledItems Prefs.js: "hxxp://search.softonic.com/MON00015/tb_v1?SearchSource=2&cc=&q=" removed from keyword.URL Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully. C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully. File C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PDVD8LanguageShortcut deleted successfully. c:\Programme\CyberLink\PowerDVD8\Language\Language.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PE2CKFNT SE deleted successfully. C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KiesPDLR deleted successfully. C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-3567116186-934676016-3338398301-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit not found. File C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe not found. C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully. C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully. C:\ProgramData\to_r0tsef.pad moved successfully. C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully. File C:\Users\Mike und Caro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found. File C:\ProgramData\to_r0tsef.pad not found. File C:\Users\Mike und Caro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found. C:\Windows\Tasks\Google Software Updater.job moved successfully. File C:\Users\Mike und Caro\AppData\Roaming\appconf32.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gast ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Mike und Caro ->Temp folder emptied: 297601080 bytes ->Temporary Internet Files folder emptied: 306863719 bytes ->Java cache emptied: 39975763 bytes ->FireFox cache emptied: 53642416 bytes ->Google Chrome cache emptied: 382404479 bytes ->Apple Safari cache emptied: 16384 bytes ->Flash cache emptied: 53220 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 525174102 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.531,00 mb [EMPTYFLASH] User: All Users User: Default User: Default User User: Gast User: Mike und Caro ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07152012_201252 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... |
|
15.07.2012, 19:36
| #4 |
| /// Helfer-Team | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Sehr gut!  Wie laeuft der Rechner? 1. Schritt Neue Version! Bitte neu runterladen! Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. danach: Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
|
15.07.2012, 20:38
| #5 |
| | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Hi! Hab meinem Bruder den Laptop schon wieder mit gegeben, von daher kann ich den Rest jetzt leider nicht mehr durchführen. Aber ich denke das es auch so getan sein müsste. Der Laptop läuft so wie vorher! Keine Probleme. Danke für die Hilfe! |
|
15.07.2012, 20:42
| #6 |
| /// Helfer-Team | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Der Rechner ist noch nicht sauber! Wird die Bereinigung eurerseits fortgefuehrt werden?
__________________ --> WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! |
|
25.07.2012, 06:42
| #7 |
| /// Helfer-Team | WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! Fehlende Rückmeldung Gibt es Probleme beim Abarbeiten obiger Anleitung? Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen. Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema. http://www.trojaner-board.de/69886-a...-beachten.html Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist. |
|
| Themen zu WIN7 GVU-Trojaner 2.07! Brauche Hilfe! Logs vorhanden! |
| bruder, cftmon.lnk, dateien, erwischt, forum, go_0molg.pad, gvu trojaner, gvu trojaner entfernen, gvu trojaner mit webcam, hilfe!, kaspersky, logfiles, malwarebytes, power, rescue, rescue cd, schonmal, starten, trojaner, verschwindet, webcam gvu trojaner, webcamfenster, win, win7 |
Linear-Darstellung
