|
Log-Analyse und Auswertung: GVU Computersperrvirus mit Malware entferntWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.11.2012, 14:29 | #1 |
| GVU Computersperrvirus mit Malware entfernt Malwarebytes Anti-Malware (Test) 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.11.22.10 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 x*** :: x***-PC [Administrator] Schutz: Aktiviert 25.11.2012 21:51:27 mbam-log-2012-11-25 (21-51-27).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 327077 Laufzeit: 2 Stunde(n), 59 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 15 HKCR\CLSID\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\qtvglped.bwom (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\qtvglped.ToolBar.1 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\TYPELIB (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\mwc (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\System\CurrentControlSet\Services\iTunesMusic (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\PC-Antispyware (Rogue.PCAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\System\CurrentControlSet\Services\Windows Management Service (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 11 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656A137-B161-CADD-9777-E37A75727E78} (Fake.Dropped.Malware) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{0656A137-B161-CADD-9777-E37A75727E78} (Fake.Dropped.Malware) -> Daten: 748 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.securewebinfo.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.safetyincludes.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.securemanaging.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cmds (Malware.Trace) -> Daten: rundll32.exe C:\Users\Norbert\AppData\Local\Temp\qoMGvUol.dll,c -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|SystemCheck2 (Trojan.Agent) -> Daten: 748 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|omlbpkaw (Trojan.FakeAlert) -> Daten: {8EA447CA-94D3-4D7B-AABA-337A9C056D02} -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|pmsoarbf (Trojan.FakeAlert) -> Daten: {75623997-54CC-46F2-A4BE-E05A748A48BE} -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 5 C:\Program Files\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\mslagent (Adware.EGDAccess) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 6 C:\Windows\system32msgp.exe (Trojan.Ardamax) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\system32mtr2.exe (Trojan.Ardamax) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\a.bat (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Norbert\AppData\Roaming\msconfig.ini (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMYDVD\Uninstall.lnk (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPack\Uninstall.lnk (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Leider habe ich die Quarantäne bereits gelöscht und den Hinweis, dass man das nicht machen soll zu spät gelesen. |
29.11.2012, 12:52 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | GVU Computersperrvirus mit Malware entfernt Hallo und
__________________Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Hast du noch weitere Logs von Malwarebytes oder anderen Virenscannern? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________ |
02.12.2012, 22:06 | #3 |
| GVU Computersperrvirus mit Malware entfernt Hallo,
__________________so richtige Logs habe ich nicht. Aber der Microsoft Security Essentials hat bei seiner letzten automatischen Überprüfung folgende zwei Trojaner in Quarantäne gestellt: [code 1] Kategorie: Trojaner Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus. Empfohlene Aktion: Entfernen Sie diese Software unverzüglich. Elemente: file:C:\Users\x***\AppData\Roaming\msconfig.dat winlogonshell:HKCU@S-1-5-21-3623133114-638740313-430360502-1000\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\Users\x***\AppData\Roaming\msconfig.dat [code1] [code2] Kategorie: Trojaner Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus. Empfohlene Aktion: Entfernen Sie diese Software unverzüglich. Elemente: file:C:\Users\x***\ms.exe [code2] Soll ich diese entfernen? |
03.12.2012, 13:21 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | GVU Computersperrvirus mit Malware entfernt Bitte die CODE-Tags richtig schreiben Es gibt keine code1 oder code2 Tags, die nennen sich einfasch nur "CODE" und dafür gibt es sogar extra einen Button über dem Textfeld, der mit # beschriftet ist Zitat:
Bitte anschließend Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus. aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu GVU Computersperrvirus mit Malware entfernt |
a.bat, administrator, adware.egdaccess, anti-malware, appdata, autostart, explorer, fake.dropped.malware, gelöscht, malware, malware.trace, malwarebytes, microsoft, roaming, rogue.pcantispyware, rundll32.exe, services, software, trojan.agent, trojan.ardamax, trojan.dnschanger, trojan.fakealert, trojan.vundo, trojan.zlob |