| |
| |||||||
Log-Analyse und Auswertung: GVU Trojaner mit WebcamWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.10.2012, 16:53
| #1 |
 |  GVU Trojaner mit Webcam Sowas passiert immer im unpassendsten Moment! Ich schreibe meine Abschlussarbeit und wollte ab nächster Woche mein System neuaufsetzen, aber natürlich fängt mein Laptop sich jetzt diesen GVU Trojaner ein. Beim Starten wird automatisch diese Seite geöffnet auf der ich gebeten werden 100e mittels Paysafe-card zu bezahlen um meinen PC zu entsperren. Außerdem greift diese Seite auch auf meine Webcam zu. Nach dieser Anleitung (http://www.trojaner-board.de/117883-...er-webcam.html) habe ich einen Scan gemacht und hoffe dass mir hier jemand helfen kann. Vielen, vielen Dank schonmal! |
|
29.10.2012, 19:26
| #2 |
| /// Helfer-Team  | GVU Trojaner mit Webcam Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
O4 - Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
[2012.10.29 16:05:03 | 000,000,820 | ---- | M] () -- C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.10.29 16:21:23 | 083,023,306 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\Julia\*.tmp
C:\Users\Julia\AppData\Local\{*}
C:\Users\Julia\AppData\Local\Temp\*.exe
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 3. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
4. Schritt
__________________ |
|
29.10.2012, 23:08
| #3 |
| | GVU Trojaner mit Webcam Vielen Dank erstmal für die schnelle Hilfe.
__________________Hier dann der ODT output Code:
ATTFilter All processes killed
========== OTL ==========
C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
C:\ProgramData\lsass.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
File C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
C:\ProgramData\dsgsdgdsgdsgw.pad moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\Julia\*.tmp not found.
File\Folder C:\Users\Julia\AppData\Local\{*} not found.
C:\Users\Julia\AppData\Local\Temp\DivXSetup.exe moved successfully.
C:\Users\Julia\AppData\Local\Temp\GoogleUpdateSetup.exed9d57 moved successfully.
C:\Users\Julia\AppData\Local\Temp\GoogleUpdateSetup.exe252cab moved successfully.
C:\Users\Julia\AppData\Local\Temp\SkypeSetup.exe moved successfully.
C:\Users\Julia\AppData\Local\Temp\wgsdgsdgdsgsd.exe moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\splash folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Julia\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
File/Folder C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Users\Julia\Desktop\cmd.bat deleted successfully.
C:\Users\Julia\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Julia
->Temp folder emptied: 218502813 bytes
->Temporary Internet Files folder emptied: 253386401 bytes
->FireFox cache emptied: 113709553 bytes
->Google Chrome cache emptied: 39768789 bytes
->Flash cache emptied: 87170 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 72161122 bytes
RecycleBin emptied: 833406295 bytes
Total Files Cleaned = 1.460,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 10292012_193302
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Malwarebytes Anti-Malware Output Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.10.29.11 Windows 7 Service Pack 1 x86 FAT32 Internet Explorer 9.0.8112.16421 Julia :: LILLY [Administrator] 29.10.2012 19:41:32 mbam-log-2012-10-29 (22-30-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 397198 Laufzeit: 2 Stunde(n), 48 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Julia\Downloads\u\u1104.exe (PUP.UltraSurf) -> Keine Aktion durchgeführt. (Ende) Code:
ATTFilter # AdwCleaner v2.005 - Datei am 29/10/2012 um 22:54:26 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : Julia - LILLY
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Julia\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gefunden : C:\Program Files\Ask.com
Ordner Gefunden : C:\Users\Julia\AppData\Local\TempDir
Ordner Gefunden : C:\Users\Julia\AppData\LocalLow\boost_interprocess
Ordner Gefunden : C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\qp2h7tvi.default\FCTB
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\AppDataLow\AskToolbarInfo
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\CompeteInc
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gefunden : HKU\S-1-5-21-521775113-3382520668-1546233410-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v16.0.2 (de)
Profilname : default
Datei : C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\qp2h7tvi.default\prefs.js
[OK] Die Datei ist sauber.
-\\ Google Chrome v22.0.1229.94
Datei : C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [3368 octets] - [29/10/2012 22:54:26]
########## EOF - C:\AdwCleaner[R1].txt - [3428 octets] ##########
AdwCleaner[S1] Code:
ATTFilter # AdwCleaner v2.005 - Datei am 29/10/2012 um 22:56:38 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : Julia - LILLY
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Julia\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : C:\Program Files\Ask.com
Ordner Gelöscht : C:\Users\Julia\AppData\Local\TempDir
Ordner Gelöscht : C:\Users\Julia\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\qp2h7tvi.default\FCTB
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\AppDataLow\AskToolbarInfo
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\CompeteInc
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v16.0.2 (de)
Profilname : default
Datei : C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\qp2h7tvi.default\prefs.js
C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\qp2h7tvi.default\user.js ... Gelöscht !
[OK] Die Datei ist sauber.
-\\ Google Chrome v22.0.1229.94
Datei : C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [3497 octets] - [29/10/2012 22:54:26]
AdwCleaner[S1].txt - [3239 octets] - [29/10/2012 22:56:38]
########## EOF - C:\AdwCleaner[S1].txt - [3299 octets] ##########
|
|
30.10.2012, 10:27
| #4 |
| /// Helfer-Team | GVU Trojaner mit Webcam Sehr gut!  Wie laeuft der Rechner? Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
|
31.10.2012, 14:07
| #5 |
| | GVU Trojaner mit Webcam Soweit läuft alles wieder scheinbar gut. Den Scan habe ich durchgeführt, allerdings war da erst kein "Bericht speichern" Button, deswegen habe ich auf Weiter geklickt und ich glaube der hat dann alles in Quaränte verschoben? Danach bekam ich dann auch den Bericht: Code:
ATTFilter Emsisoft Anti-Malware - Version 7.0
Letztes Update: 31.10.2012 10:49:43
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus
Scan Beginn: 31.10.2012 10:51:39
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\00ead1f1.qua -> (Quarantine-8) gefunden: Gen:Variant.FakeAlert.51 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1040ad16.qua -> (Quarantine-8) gefunden: Trojan.Spy.Zbot.EUN (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a20a4f7.qua -> (Quarantine-8) gefunden: Gen:Variant.FakeAlert.51 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a52f506.qua -> (Quarantine-8) gefunden: Gen:Variant.Kazy.55496 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ab14981.qua -> (Quarantine-8) gefunden: Gen:Variant.FakeAlert.51 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ac2672d.qua -> (Quarantine-8) gefunden: Trojan.Generic.7416932 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ac3eedd.qua -> (Quarantine-8) gefunden: Trojan.Generic.7061733 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bf67841.qua -> (Quarantine-8) gefunden: Trojan.Generic.7253281 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\52a08b68.qua -> (Quarantine-8) gefunden: Gen:Variant.Kazy.55125 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\53a357d8.qua -> (Quarantine-8) gefunden: Trojan.Generic.7253281 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5c9f812e.qua -> (Quarantine-8) gefunden: Gen:Variant.Kazy.55496 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\66169e31.qua -> (Quarantine-8) gefunden: Gen:Variant.Barys.25 (B)
Gescannt 525998
Gefunden 12
Scan Ende: 31.10.2012 13:50:36
Scan Zeit: 2:58:57
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\66169e31.qua -> (Quarantine-8) Quarantäne Gen:Variant.Barys.25 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\52a08b68.qua -> (Quarantine-8) Quarantäne Gen:Variant.Kazy.55125 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bf67841.qua -> (Quarantine-8) Quarantäne Trojan.Generic.7253281 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\53a357d8.qua -> (Quarantine-8) Quarantäne Trojan.Generic.7253281 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ac3eedd.qua -> (Quarantine-8) Quarantäne Trojan.Generic.7061733 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ac2672d.qua -> (Quarantine-8) Quarantäne Trojan.Generic.7416932 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a52f506.qua -> (Quarantine-8) Quarantäne Gen:Variant.Kazy.55496 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5c9f812e.qua -> (Quarantine-8) Quarantäne Gen:Variant.Kazy.55496 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1040ad16.qua -> (Quarantine-8) Quarantäne Trojan.Spy.Zbot.EUN (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\00ead1f1.qua -> (Quarantine-8) Quarantäne Gen:Variant.FakeAlert.51 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a20a4f7.qua -> (Quarantine-8) Quarantäne Gen:Variant.FakeAlert.51 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ab14981.qua -> (Quarantine-8) Quarantäne Gen:Variant.FakeAlert.51 (B)
Quarantäne 12
Gibt es denn eigentliche irgendwelche Virenschutzprogramme die solche Trojaner auch erkennen (also bevor sie irgendwelchen Schaden anrichten?) |
|
01.11.2012, 04:20
| #6 |
| /// Helfer-Team | GVU Trojaner mit Webcam Sehr gut! Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
__________________ --> GVU Trojaner mit Webcam |
|
01.11.2012, 13:23
| #7 |
| | GVU Trojaner mit Webcam Hier das ESET-Logfile: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a5dc812336c1714f8eac40a4523b6d45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-01 12:14:25
# local_time=2012-11-01 01:14:25 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 21257798 21257798 0 0
# compatibility_mode=1792 16777215 100 0 32814808 32814808 0 0
# compatibility_mode=5893 16776573 100 94 177073 103392810 0 0
# compatibility_mode=8192 67108863 100 0 3780 3780 0 0
# scanned=213687
# found=2
# cleaned=2
# scan_time=10467
C:\_OTL\MovedFiles\10292012_193302\C_Users\Julia\AppData\Local\Temp\wgsdgsdgdsgsd.exe Win32/Reveton.H trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\_OTL\MovedFiles\10292012_193302\C_Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk Win32/Reveton.J trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
|
|
03.11.2012, 06:27
| #8 |
| /// Helfer-Team | GVU Trojaner mit Webcam Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
|
06.11.2012, 00:05
| #9 |
| | GVU Trojaner mit Webcam Ich wollte mich nur kurz entschuldigen, da ich momentan wegen meiner Abschlussarbeit nicht zuhause bin, konnte ich die letzten Schritte noch nicht durcharbeiten. Das wird natürlich morgen abend sofort nachgeholt. |
|
06.11.2012, 21:12
| #10 |
| /// Helfer-Team | GVU Trojaner mit Webcam Alles klar  |
|
07.11.2012, 01:20
| #11 |
| | GVU Trojaner mit Webcam Also beim Plugin-check gab es das hier (beide male) Code:
ATTFilter
Firefox 16.0 ist aktuell
Flash (11,4,402,287) ist aktuell.
Java ist Installiert aber nicht aktiviert.
Adobe Reader 10,1,4,38 ist aktuell.
|
|
07.11.2012, 05:35
| #12 |
| /// Helfer-Team | GVU Trojaner mit Webcam Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
09.11.2012, 12:30
| #13 |
| | GVU Trojaner mit Webcam Bis auf den letzten Schritt hab ich das soweit alles durch. Bei dem CCleaner hab ich erstmal das gemacht was in der verlinkten Anleitung steht. Allerdings steht da auch, dass man die Registry auf keinen Fall damit bereinigen soll? Soll ich das nun machen oder nicht? (bzw falls ja, mit welchen Einstellungen) Nochmal vielen vielen dank für die tolle Hilfe!! Ich mach mich dann mal daran eure Leseliste abzuarbeiten  |
|
09.11.2012, 19:11
| #14 |
| /// Helfer-Team | GVU Trojaner mit Webcam Schoen, dass dir das auffaellt! Ich verlinke die Anleitung, weil man es nicht aus Spass tun soll. Hier ist es aber geboten. |
|
09.11.2012, 19:33
| #15 |
| | GVU Trojaner mit Webcam Ok, erledigt, allerdings bekomme ich einen Fehler einfach nicht weg. Ich habe das ganze jetzt ca. 40mal durchlaufen lassen. Die ersten beiden Male waren noch andere Fehler dabei, aber seitdem ist es immer nur dieser eine: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Was kann ich da nun noch tun? |
|
| Themen zu GVU Trojaner mit Webcam |
| anleitung, automatisch, beim starten, bezahlen, fängt, greift, gvu trojaner, gvu trojaner mit webcam, hoffe, laptop, leitung, natürlich, neuaufsetzen, pup.ultrasurf, scan, schonmal, seite, sperre, starte, starten, system, troja, trojaner, webcam |
Linear-Darstellung
