Apple Parallels Windows Xp vom GVU Trojana befallen

DerAlex · 16.07.2012, 18:48

Hallo,
auf meinem Apple habe ich Parallels installiert damit weiterhin Xp läuft, seit heute Morgen habe ich nun auch diesen nervigen Virus. Scann mit OTl habe ich auch bereits gemacht und nun weis ich leider nicht weiter?

Anhang 38021

Anhang 38022

t'john · 16.07.2012, 19:29

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:OTL
MOD - [2012.07.16 16:13:55 | 000,193,024 | ---- | M] () -- C:\Dokumente  und Einstellungen\Administrator\Lokale Einstellungen\Temp\fest0r_ot.exe 
IE -  HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE -  HKLM\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes,DefaultScope =  {0388404D-6072-4CEB-B521-8F090FEAEE57} 
IE -  HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" =  http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=DE&install_date=20120509&user_guid=EDBEB36699DB40F2BC84643B319881B7&machine_id=bdd17a2ff09999679eedf6e12b02a366&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}  
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings:  "ProxyEnable" = 0 
O32 - HKLM CDRom: AutoRun - 1 

[2012.07.16 18:16:59 |  004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All  Users\Anwendungsdaten\to_r0tsef.pad 
[2012.07.16 16:50:41 | 000,000,000 |  ---D | C] -- C:\WINDOWS\System32\NtmsData 
[2012.07.16 16:50:15 | 000,000,884  | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job  
[2012.07.16 16:50:09 | 000,001,593 | ---- | M] () --  \\psf\Home\Desktop\Avira Free Antivirus Profil Lokale Festplatten.LNK  
[2012.07.16 16:50:08 | 000,001,593 | ---- | C] () --  \\psf\Home\Desktop\Avira Free Antivirus Profil Lokale Festplatten.LNK  
[2012.07.16 16:13:55 | 000,001,618 | ---- | M] () -- C:\Dokumente und  Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk  
[2012.07.16 16:13:55 | 004,503,728 | ---- | C] () -- C:\Dokumente und  Einstellungen\All Users\Anwendungsdaten\to_r0tsef.pad 
[2012.07.16 16:13:55 |  000,001,618 | ---- | C] () -- C:\Dokumente und  Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk  


:Files

ipconfig /flushdns  /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

DerAlex · 16.07.2012, 20:07

hat leider nicht funktioniert

Anhang 38030

t'john · 16.07.2012, 20:09

Du sollst die Anleitung beachten und den FIX in OTL eingeben!

Zitat:

Zitat von DerAlex

es funktioniert einfach nicht ich bin aber auch sehr unerfahren was Pc´s angeht, Also wenn ich den Code unten eintage und auf Fix gehe kommt die Mitteilung Fehler beim erstellen vom Logfile, Dann will er einen Neustart und danach kommt wieder die Fehlermeldung?

Gruß Alex

\\psf\Home\Desktop

Warum ist das ein Netzwerk-Pfad und kein Platten Pfad?

Probiere OTL in C:\ zu starten.

DerAlex · 17.07.2012, 05:10

Das hat funktioniert, zwar auch wieder mit einer Felermeldung am ende, aber Windows arbeitet wieder mit Web.

Ist denn nun der Virus ganz weg oder nur geblockt?

Gruß ALex

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0388404D-6072-4CEB-B521-8F090FEAEE57}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\Dokumente und Einstellungen\All Users\ntuser.pol moved successfully.
File C:\Dokumente und Einstellungen\All Users\ntuser.pol not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\to_r0tsef.pad moved successfully.
Folder C:\WINDOWS\System32\NtmsData\ not found.
C:\WINDOWS\tasks\Adobe Flash Player Updater.job moved successfully.
File \\psf\Home\Desktop\Avira Free Antivirus Profil Lokale Festplatten.LNK not found.
File \\psf\Home\Desktop\Avira Free Antivirus Profil Lokale Festplatten.LNK not found.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\to_r0tsef.pad not found.
File C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File C:\Dokumente und Einstellungen\All Users\ntuser.pol not found.
File C:\Dokumente und Einstellungen\All Users\ntuser.pol not found.
C:\WINDOWS\system32\drivers\prl_memdev.sys moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\fest0r_ot.exe not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\to_r0tsef.pad not found.
File\Folder C:\WINDOWS\tasks\Adobe Flash Player Updater.job not found.
File\Folder C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder C:\Dokumente und Einstellungen\All Users\ntuser.pol not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 193182 bytes
->Temporary Internet Files folder emptied: 1433776 bytes
->Flash cache emptied: 492 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2355 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2,00 mb

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

t'john · 17.07.2012, 16:04

Sehr gut!

1. Schritt

Neue Version! Bitte neu runterladen!

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

DerAlex · 20.07.2012, 05:18

# AdwCleaner v1.702 - Logfile created 07/20/2012 at 06:17:02
# Updated 13/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Administrator - ALEXHOMEE760
# Running from : \\psf\Home\Desktop\adwcleaner.exe
# Option [Search]

***** [Services] *****

***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Folder Found : C:\Programme\Viewpoint
Folder Found : C:\Programme\Viewpoint

***** [Registry] *****

Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Key Found : HKLM\SOFTWARE\MetaStream
Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Key Found : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Key Found : HKLM\SOFTWARE\Viewpoint

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [4305 octets] - [18/07/2012 19:53:24]
AdwCleaner[S1].txt - [4347 octets] - [18/07/2012 19:53:34]
AdwCleaner[R2].txt - [781 octets] - [19/07/2012 05:44:03]
AdwCleaner[R3].txt - [1834 octets] - [20/07/2012 06:17:02]

########## EOF - C:\AdwCleaner[R3].txt - [1962 octets] ##########

t'john · 20.07.2012, 10:04

Wo bleibt der Scan mit Malwarebytes?

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

t'john · 30.07.2012, 20:38

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

Apple Parallels Windows Xp vom GVU Trojana befallen

Log-Analyse und Auswertung: Apple Parallels Windows Xp vom GVU Trojana befallen