| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner mit 100€ ZahlungsaufforderungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
04.09.2012, 20:51
| #1 | |
| /// Malware-holic   |  GVU Trojaner mit 100€ Zahlungsaufforderung hi was hat Malwarebytes gefunden, poste es bitte + alle logs mit funden Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
05.09.2012, 00:03
| #2 |
| | GVU Trojaner mit 100€ Zahlungsaufforderung Hallo,
__________________also Malwarebytes hatte am ersten Tag folgendes jedemal nach dem Hochfahren (ich habe es in Quarantäne gesteckt jedesmal): C:\Users\maxmustermann\AppData\Local\Temp\roper0dun.exe Das Logfile dazu ist im Anhang. Ich konnte es hier nicht reinkopieren, sorry. Wenn ich den PC jetzt hochfahre kommt eine Windows Fehlermeldung, dass dieses Modul nicht gefunden werden kann. Hier ist die Combofix Logfile:Combofix Logfile: Code:
ATTFilter ComboFix 12-09-04.02 - Christopher Schwarz 05.09.2012 1:19.1.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.3033.1877 [GMT 2:00]
ausgeführt von:: c:\users\Christopher Schwarz\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\nud0repor.pad
c:\users\Christopher Schwarz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-08-04 bis 2012-09-04 ))))))))))))))))))))))))))))))
.
.
2012-09-04 23:28 . 2012-09-04 23:29 -------- d-----w- c:\users\Christopher Schwarz\AppData\Local\temp
2012-09-04 23:28 . 2012-09-04 23:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-09-04 22:49 . 2012-09-04 22:49 -------- d-----w- c:\program files\Intel
2012-09-04 22:49 . 2012-09-04 22:49 -------- d-----w- C:\Intel
2012-09-04 22:45 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-09-04 22:42 . 2011-04-22 19:14 27008 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2012-09-04 22:41 . 2011-02-03 05:54 219008 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
2012-09-04 22:39 . 2012-09-04 22:39 -------- d-----w- c:\program files\Microsoft
2012-09-04 22:37 . 2012-09-04 22:37 -------- d-----w- c:\users\Christopher Schwarz\AppData\Local\DDMSettings
2012-09-01 13:24 . 2012-09-01 13:24 -------- d-----w- c:\program files\SopCast
2012-08-31 15:02 . 2012-08-31 15:02 -------- d-----w- c:\users\NichtAdmin
2012-08-31 11:24 . 2012-08-31 11:24 -------- d-----w- C:\_OTL
2012-08-31 09:21 . 2012-08-31 09:21 -------- d-----w- c:\users\Christopher Schwarz\AppData\Roaming\Malwarebytes
2012-08-31 09:21 . 2012-08-31 09:21 -------- d-----w- c:\programdata\Malwarebytes
2012-08-31 09:20 . 2012-08-31 09:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-31 09:20 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-30 18:35 . 2012-08-30 18:35 73696 ----a-w- c:\program files\Mozilla Firefox\breakpadinjector.dll
2012-08-28 22:09 . 2012-08-28 22:09 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2012-08-28 17:38 . 2006-10-26 17:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2012-08-28 17:38 . 2009-02-27 01:42 31640 ----a-w- c:\windows\system32\msonpmon.dll
2012-08-28 17:37 . 2012-08-28 22:10 -------- d-----w- c:\program files\Microsoft Works
2012-08-28 17:36 . 2012-08-28 17:36 -------- d-----w- c:\windows\PCHEALTH
2012-08-28 17:32 . 2012-08-28 17:32 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2012-08-28 17:31 . 2012-08-28 17:31 -------- d-----w- c:\users\Christopher Schwarz\AppData\Local\Microsoft Help
2012-08-28 17:31 . 2012-09-04 22:50 -------- d-----w- c:\programdata\Microsoft Help
2012-08-28 17:31 . 2012-08-28 17:31 -------- d-----r- C:\MSOCache
2012-08-28 16:32 . 2012-08-28 16:32 -------- d-----w- c:\users\Christopher Schwarz\AppData\Local\PDF24
2012-08-28 16:29 . 2012-08-28 16:29 -------- d-----w- c:\program files\PDF24
2012-08-17 13:53 . 2012-08-17 13:53 -------- d-----w- c:\users\Christopher Schwarz\AppData\Roaming\Ubisoft
2012-08-17 13:51 . 2012-08-17 13:51 -------- d-----w- c:\programdata\Tages
2012-08-17 10:48 . 2012-08-17 10:48 -------- d--h--w- c:\program files\InstallShield Installation Information
2012-08-17 10:48 . 2012-08-17 10:48 -------- d-----w- c:\program files\Ubisoft
2012-08-16 06:07 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-16 06:07 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-16 06:07 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-16 06:07 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-31 17:42 . 2012-07-12 19:19 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-31 17:42 . 2012-07-12 19:19 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-09 07:27 . 2012-07-09 07:27 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-07-09 07:27 . 2012-07-09 07:27 161792 ----a-w- c:\windows\system32\msls31.dll
2012-07-09 07:27 . 2012-07-09 07:27 86528 ----a-w- c:\windows\system32\iesysprep.dll
2012-07-09 07:27 . 2012-07-09 07:27 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-07-09 07:27 . 2012-07-09 07:27 74752 ----a-w- c:\windows\system32\iesetup.dll
2012-07-09 07:27 . 2012-07-09 07:27 63488 ----a-w- c:\windows\system32\tdc.ocx
2012-07-09 07:27 . 2012-07-09 07:27 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-07-09 07:27 . 2012-07-09 07:27 367104 ----a-w- c:\windows\system32\html.iec
2012-07-09 07:27 . 2012-07-09 07:27 23552 ----a-w- c:\windows\system32\licmgr10.dll
2012-07-09 07:27 . 2012-07-09 07:27 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-07-09 07:27 . 2012-07-09 07:27 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-07-09 07:27 . 2012-07-09 07:27 35840 ----a-w- c:\windows\system32\imgutil.dll
2012-07-09 07:27 . 2012-07-09 07:27 152064 ----a-w- c:\windows\system32\wextract.exe
2012-07-09 07:27 . 2012-07-09 07:27 150528 ----a-w- c:\windows\system32\iexpress.exe
2012-07-09 07:27 . 2012-07-09 07:27 11776 ----a-w- c:\windows\system32\mshta.exe
2012-07-09 07:27 . 2012-07-09 07:27 101888 ----a-w- c:\windows\system32\admparse.dll
2012-07-08 15:59 . 2012-07-08 15:59 687600 ----a-w- c:\windows\system32\deployJava1.dll
2012-07-08 15:59 . 2012-07-08 15:59 772592 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-07-08 15:20 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2012-06-18 01:14 . 2012-07-08 11:20 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C4D3E101-45F6-4988-8A06-9E3040F1908B}\mpengine.dll
2012-08-30 18:35 . 2012-07-08 12:41 266720 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32 94208 ----a-w- c:\users\Christopher Schwarz\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32 94208 ----a-w- c:\users\Christopher Schwarz\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32 94208 ----a-w- c:\users\Christopher Schwarz\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2012-06-20 74752]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2012-07-30 162408]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
.
c:\users\Christopher Schwarz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Christopher Schwarz\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-6-14 27595032]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-07-03 11:23 17417392 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-12 17:42]
.
2012-09-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4056700238-3144353567-2783393844-1001Core.job
- c:\users\Christopher Schwarz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-19 17:11]
.
2012-09-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4056700238-3144353567-2783393844-1001UA.job
- c:\users\Christopher Schwarz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-19 17:11]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Christopher Schwarz\AppData\Roaming\Mozilla\Firefox\Profiles\g39jsch2.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-09-05 01:35:29
ComboFix-quarantined-files.txt 2012-09-04 23:35
.
Vor Suchlauf: 7 Verzeichnis(se), 114.699.730.944 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 115.182.817.280 Bytes frei
.
- - End Of File - - 8D0CFB259FD884FC43FF75CF3BF0BD4A
Geändert von stoffelman (05.09.2012 um 00:37 Uhr) |
|
| Themen zu GVU Trojaner mit 100€ Zahlungsaufforderung |
| abgesicherte, abgesicherten, abgesicherten modus, abmelden, anhang, compu, computer, defogger, files, gemeinde, gmer, infizierte, infizierten, klicke, klicken, langs, liebe, locker, log, log files, modus, ntdll.dll, plug-in, plötzlich, problemlos, screen, strg, troja, trojaner |
Hybrid-Darstellung
