| |
| |||||||
Log-Analyse und Auswertung: GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehrWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.01.2013, 20:22
| #1 |
| |  GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Hallo zusammen, wie ich schon beim recherchieren gesehen habe, bin ich heute nicht der einzige, den der GVU-Trojaner erwischt hat. Ich bekomme ein schönes Bild von meiner Webcam und im Bildschirm erscheint auch mein Standort - schon irgendwie gruselig. Mein System Windows XP Servicepack 3 der GVU-Trojaner kommt bei allen Benutzern und leider auch beim Hochfahren im abgesicherten Modus. Antivirussoftware von AVIRA Internet Security 2013 Da die jetzt auch einen Sicherheitsbereich im Internet-Explorer haben, habe ich mich beim Surfen echt sicher gefühlt - schade! Ich bedanke mich für´s Lesen und für´s Denken! Zur Not habe ich meinen Rechner für Montag beim Arzt angemeldet, würde die Operation aber auch selber probieren. mit freundlichen Grüßen Käseklaus Die wichtigste Frage: Sind die Daten auf allen Partitionen betroffen? Kriegt man die Daten wieder hin? Vielleicht ist es noch wichtig zu sagen, dass ich die Reparaturprozeduren über mein Windows 7 Starter 32bit Netbook ausführen muss. Ich habe nämlich die OTLPE Vorbereitung begonnen, kann aber scheibar unter Win 7 den eeepcfr nicht richtig benutzen, der findet den Stick im Netbook nicht. Geändert von Käseklaus (26.01.2013 um 20:25 Uhr) Grund: Grußformel vergessen!!! |
|
26.01.2013, 22:13
| #2 |
| /// TB-Ausbilder  | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.  Bitte Lesen: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Gelesen und verstanden? Computer mit Combofix entsperren Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!
__________________ |
|
26.01.2013, 22:13
| #3 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Habe gerade die Variante von CHIP probiert. Sprich den letzten Wiederherstellungspunkt zurücksetzen.
__________________Habe das Problem, dass beim abgesicherten Modus mit Eingabeaufforderung irgendwie auf dem schwarzenbildschirm mit dem blinkenden Balken nichts schreiben kann. Liegt das am USB-Keyboard? Kann mir das bei oben genannter Variante auch passieren? Oder habe ich etwas anderes falsch gemacht? vielen Dank! OK - da sieht man, dass ich nicht vom Fach bin, da muss man sich erst noch als Admin anmelden. das Starten hat geklappt. ich hatte aber zuvor die Internetverbindung gekappt und da hat combofix mit dem scannen begonnen. Kann man das nochmal laufen lassen oder kommt da nochmal was mit der Wiederherstellungspunktkonsole? aber der combofix kann aufgrund des Avira real time scanners scheinbar ncht die Windowswiederherstellungskonsoleladen. Code:
ATTFilter ComboFix 13-01-26.02 - Administrator 26.01.2013 23:43:37.1.2 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1740 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.XXXXXXXXHOME\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
AV: Avira Desktop *Enabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira Firewall *Disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
FW: Avira FireWall *Enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\DFR10.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\098310161.js
c:\dokumente und einstellungen\All Users\Anwendungsdaten\098310161.pad
c:\dokumente und einstellungen\Hendrik\161013890.exe
c:\dokumente und einstellungen\Hendrik\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\SET2E.tmp
c:\windows\system32\SET7A.tmp
c:\windows\system32\SET95.tmp
c:\windows\system32\SET99.tmp
c:\windows\system32\SETA1.tmp
c:\windows\system32\SETA4.tmp
c:\windows\system32\SETA5.tmp
c:\windows\system32\SETA6.tmp
c:\windows\system32\SETB7.tmp
c:\windows\system32\SETB9.tmp
c:\windows\system32\SETC6.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
W:\AUTORUN.INF
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_STEC3
-------\Service_STEC3
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-12-26 bis 2013-01-26 ))))))))))))))))))))))))))))))
.
.
2013-01-26 22:09 . 2013-01-26 22:18 -------- dc----w- c:\dokumente und einstellungen\Administrator
2013-01-03 19:08 . 2013-01-26 14:54 -------- dc----w- c:\dokumente und einstellungen\Hendrik\Anwendungsdaten\CallingID
2013-01-03 19:08 . 2013-01-26 10:29 -------- dc----w- c:\dokumente und einstellungen\Hendrik\Lokale Einstellungen\Anwendungsdaten\DoNotTrackPlus
2013-01-03 19:08 . 2013-01-03 19:08 -------- dc----w- c:\dokumente und einstellungen\Hendrik\Anwendungsdaten\AskToolbar
2013-01-03 19:00 . 2013-01-16 20:00 -------- dc----w- c:\programme\Ask.com
2013-01-03 18:59 . 2013-01-26 14:55 -------- dc----w- c:\dokumente und einstellungen\Hendrik\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2012-12-30 12:50 . 2012-12-30 12:50 -------- dc----w- c:\dokumente und einstellungen\Hendrik\Anwendungsdaten\RavensburgerTipToi
2012-12-30 12:48 . 2012-12-30 12:50 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RavensburgerTipToi
2012-12-30 12:48 . 2012-12-30 12:48 -------- dc----w- c:\programme\Ravensburger tiptoi
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-09 19:13 . 2012-03-30 18:32 697864 -c--a-w- c:\windows\system32\FlashPlayerApp.exe
2013-01-09 19:13 . 2011-05-15 20:28 74248 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2004-08-04 12:00 290560 -c--a-w- c:\windows\system32\atmfd.dll
2012-12-12 18:25 . 2012-10-10 06:33 83944 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
2012-12-12 18:25 . 2012-10-10 06:33 134336 -c--a-w- c:\windows\system32\drivers\avipbb.sys
2012-11-27 09:56 . 2012-10-10 06:33 92008 -c--a-w- c:\windows\system32\drivers\avfwim.sys
2012-11-27 09:56 . 2012-10-10 06:33 112584 -c--a-w- c:\windows\system32\drivers\avfwot.sys
2012-11-25 09:27 . 2012-11-24 16:18 18400 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSA\9.0\1031\ResourceCache.dll
2012-11-25 09:27 . 2012-11-24 16:18 128256 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VisualStudio\9.0\1031\ResourceCache.dll
2012-11-25 09:25 . 2012-11-24 16:08 416 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2012-11-25 09:25 . 2012-11-25 09:25 416 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1031\ResourceCache.dll
2012-11-24 16:44 . 2012-11-24 16:44 397472 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSTAHost\SSIS_ScriptComponent\9.0\1033\ResourceCache.dll
2012-11-24 16:43 . 2012-11-24 16:43 398880 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSTAHost\SSIS_ScriptComponent\9.0\1031\ResourceCache.dll
2012-11-24 16:41 . 2012-11-24 16:41 397472 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSTAHost\SSIS_ScriptTask\9.0\1033\ResourceCache.dll
2012-11-24 16:41 . 2012-11-24 16:41 398880 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSTAHost\SSIS_ScriptTask\9.0\1031\ResourceCache.dll
2012-11-14 11:22 . 2012-10-10 06:33 36552 -c--a-w- c:\windows\system32\drivers\avkmgr.sys
2012-11-13 11:55 . 2004-08-04 12:00 1866496 -c--a-w- c:\windows\system32\win32k.sys
2012-11-06 02:01 . 2008-04-14 02:22 1371648 -c--a-w- c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2004-08-04 12:00 375296 -c--a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00 916992 -c--a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00 43520 -c--a-w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00 1469440 -c----w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00 385024 -c--a-w- c:\windows\system32\html.iec
2004-08-04 12:00 94800 -csh--w- c:\windows\twain.dll
2008-04-14 02:22 50688 -csh--w- c:\windows\twain_32.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-12-20 1521952]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2012-08-29 39408]
"KiesPreload"="c:\programme\Samsung\Kies\Kies.exe" [2012-10-11 966072]
"KiesAirMessage"="c:\programme\Samsung\Kies\KiesAirMessage.exe" [2012-10-09 580096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 16239616]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"MULTIMEDIA KEYBOARD"="c:\programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-06-19 180224]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-04-06 1404928]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"KMCONFIG"="c:\programme\Mouse Driver\StartAutorun.exe" [2007-03-06 212992]
"BCSSync"="e:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"Conime"="c:\windows\system32\conime.exe" [2008-04-14 27648]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="f:\programme\QuickTime\qttask.exe" [2011-10-24 421888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-12 384800]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"EKStatusMonitor"="c:\programme\Kodak\AiO\StatusMonitor\EKStatusMonitor.exe" [2012-10-15 2844608]
"KiesTrayAgent"="c:\programme\Samsung\Kies\KiesTrayAgent.exe" [2012-10-11 309688]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-09-23 15512424]
"NvMediaCenter"="NvMCTray.dll" [2012-09-23 108392]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2012-09-23 1634112]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2012-12-20 1574176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"scan_after_setup"="c:\programme\avira\antivir desktop\avcenter.exe" [2012-12-12 387360]
"KodakHomeCenter"="c:\programme\Kodak\AiO\Center\AiOHomeCenter.exe" [2012-10-19 2235840]
.
c:\dokumente und einstellungen\Hendrik\Startmenü\Programme\Autostart\
runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HPAiODevice(hp psc 900 series) - 1.lnk - c:\programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe [2002-3-5 487484]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Gigaset WLAN Adapter Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Gigaset WLAN Adapter Monitor.lnk
backup=c:\windows\pss\Gigaset WLAN Adapter Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp psc 900 series) - 1.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp psc 900 series) - 1.lnk
backup=c:\windows\pss\HPAiODevice(hp psc 900 series) - 1.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Hendrik\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04 39792 -c--a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CamserviceHD]
2009-07-07 13:44 356352 -c--a-w- c:\programme\Hercules\Dualpix HD\CamService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2004-03-24 16:41 1294446 -c----w- e:\programme\Ahead\InCD\InCD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2011-04-28 07:59 220552 -c--a-w- c:\programme\PDF24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfSaver3]
2004-06-09 14:08 385024 -c--a-w- e:\programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-11-09 10:27 17877168 -c--a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpriteService]
2006-02-21 13:04 552960 ----a-w- c:\programme\Sprite Software\Sprite Backup\SpriteService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2012-08-29 16:30 39408 -c--a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Sprite Software\\Sprite Backup\\SpriteService.exe"=
"e:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"h:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"h:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"f:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\Avatar.exe"=
"f:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\AvatarLauncher.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Updatus\\daemonu.exe"=
"f:\\Programme\\Landwirtschafts Simulator 2011\\FarmingSimulator2011.exe"=
"f:\\Programme\\Landwirtschafts Simulator 2011\\game.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\WINDOWS\\system32\\muzapp.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\AiOHomeCenter.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\Kodak.Statistics.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\NetworkPrinterDiscovery.exe"=
"c:\\Programme\\Kodak\\AiO\\Firmware\\KodakAiOUpdater.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kodak\\Installer\\Setup.exe"=
"c:\\Programme\\Medion AG\\NSU\\NSU.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"5353:UDP"= 5353:UDP:Bonjour Port 5353
"9322:TCP"= 9322:TCP:EKDiscovery
.
R0 Achernar;Achernar - SCSI Command Filter Drivers;c:\windows\system32\drivers\Achernar.sys [17.03.2008 20:40 18432]
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [03.03.2011 22:29 57112]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [10.10.2012 07:33 112584]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [10.10.2012 07:33 36552]
R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [09.09.2007 17:09 6656]
R1 RCFOX;SonicWALL IPsec Driver;c:\windows\system32\drivers\RCFOX.SYS [09.10.2012 20:11 78032]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [13.03.2011 22:56 158736]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [13.03.2011 22:55 42960]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 09:19 501560]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [10.10.2012 07:33 656672]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [10.10.2012 07:33 400160]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.10.2012 07:33 85280]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [10.10.2012 07:33 565024]
R2 CBTWlanSrv;CBT Wlan Service;c:\windows\CBTWlanSrv.exe [10.09.2008 19:50 106496]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programme\Mouse Driver\KMWDSrv.exe [13.11.2009 17:04 204800]
R2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\programme\Kodak\AiO\Center\EKAiOHostService.exe [19.10.2012 14:51 395200]
R2 Kodak AiO Status Monitor Service;Kodak AiO Status Monitor Service;c:\programme\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe [15.10.2012 11:58 779200]
R2 nhksrv;Netropa NHK Server;c:\programme\Netropa\Multimedia Keyboard\nhksrv.exe [09.09.2007 17:09 28672]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 17:57 35840]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [10.10.2012 07:33 92008]
R3 hxctlflt;hxctlflt;c:\windows\system32\drivers\hxctlflt.sys [09.07.2011 08:02 99968]
R3 MSSQLFDLauncher$SQLEXPRESS;SQL Full-text Filter Daemon Launcher (SQLEXPRESS);j:\programme\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\fdlauncher.exe [03.04.2010 11:56 28512]
R3 rcvpn;SonicWALL VPN Adapter;c:\windows\system32\drivers\rcvpn.sys [09.10.2012 20:11 23180]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [22.12.2010 15:31 109328]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [22.12.2010 15:31 120208]
S2 gupdate1ca03eee9ba5304;Google Update Service (gupdate1ca03eee9ba5304);c:\programme\Google\Update\GoogleUpdate.exe [13.07.2009 20:19 133104]
S2 ReportServer$SQLEXPRESS;SQL Server Reporting Services (SQLEXPRESS);j:\programme\Microsoft SQL Server\MSRS10_50.SQLEXPRESS\Reporting Services\ReportServer\bin\ReportingServicesService.exe [03.04.2010 11:56 1177952]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [09.11.2012 11:21 160944]
S3 athrusb6;Siemens Wireless LAN USB device driver 6 Series;c:\windows\system32\drivers\athru6.sys [10.09.2008 19:49 873472]
S3 CBPSp50;CBPSp50 NDIS Protocol Driver;c:\windows\system32\drivers\CBPSp50.sys [10.09.2008 19:50 20096]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [05.10.2012 21:26 83168]
S3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\drivers\nx6000.sys [13.07.2009 18:30 30560]
S3 oflpydin;oflpydin;\??\c:\dokume~1\Hendrik\LOKALE~1\Temp\oflpydin.sys --> c:\dokume~1\Hendrik\LOKALE~1\Temp\oflpydin.sys [?]
S3 PciCon;PciCon;\??\d:\pcicon.sys --> d:\PciCon.sys [?]
S3 SQTECH907B;EZCam(PID_907B_00);c:\windows\system32\drivers\Capt907B.sys [12.05.2012 09:37 49963]
S3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [05.10.2012 21:26 181344]
S3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\windows\system32\drivers\TTCinergyT2.sys [09.09.2007 19:49 16640]
S3 ZD1211BU(Siemens);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(Siemens);c:\windows\system32\drivers\ZD1211BU.sys [10.09.2008 19:50 450560]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [03.04.2010 11:56 44896]
S4 RsFx0150;RsFx0150 Driver;c:\windows\system32\drivers\RsFx0150.sys [03.04.2010 11:02 240608]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);j:\programme\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [03.04.2010 11:56 367456]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dbfc85c2-da1d-11e0-83d0-0015587188aa}]
\Shell\AutoRun\command - L:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 19:13]
.
2013-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-13 19:19]
.
2013-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-13 19:19]
.
2013-01-26 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-12-20 20:56]
.
2013-01-26 c:\windows\Tasks\User_Feed_Synchronization-{B09FF1C2-3F00-4F8F-8582-DE802DC8E6A5}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
2013-01-26 c:\windows\Tasks\Windows Codec Update Service.job
- c:\programme\Essentials Codec Pack\WECPUpdate.exe [2012-02-22 16:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - e:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-pdfSaver3 - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-updateMgr - e:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
AddRemove-Tape Converter by MixMeister_is1 - j:\ez vinyl tape converter\unins000.exe
AddRemove-HP Fotodruck-Programm - c:\windows\IsUn0407.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
AddRemove-Starsiege - c:\windows\IsUn0407.exe
AddRemove-01_Simmental - c:\programme\SAMSUNG\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\programme\SAMSUNG\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\programme\SAMSUNG\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\programme\SAMSUNG\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\programme\SAMSUNG\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\programme\SAMSUNG\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\programme\SAMSUNG\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\programme\SAMSUNG\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\programme\SAMSUNG\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\programme\SAMSUNG\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\programme\SAMSUNG\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\programme\SAMSUNG\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\programme\SAMSUNG\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\programme\SAMSUNG\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\programme\SAMSUNG\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\programme\SAMSUNG\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\programme\SAMSUNG\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\programme\SAMSUNG\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\programme\SAMSUNG\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-27 00:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(704)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(4452)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Avira\AntiVir Desktop\avsda.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Ahead\InCD\InCDsrv.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
j:\programme\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
c:\windows\System32\snmp.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
j:\programme\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\fdhost.exe
c:\windows\RTHDCPL.EXE
c:\programme\Mouse Driver\KMConfig.exe
c:\programme\Mouse Driver\KMProcess.exe
c:\programme\Netropa\Multimedia Keyboard\TrayMon.exe
c:\programme\Netropa\Onscreen Display\OSD.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\progra~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
c:\windows\system32\hpoipm07.exe
c:\windows\system32\msiexec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-27 00:21:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-01-26 23:21
.
Vor Suchlauf: 12 Verzeichnis(se), 11.655.315.456 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.913.028.096 Bytes frei
.
- - End Of File - - 88ABF6420DBCF49A10091D4FBFE29749
was soll ich damit machen zurückweisen oder erlauben? Nachdem alles abgeschlossen wart, habe ich, weil ja scheinbar alles wieder funktioniert, den Avira Systemscan gestartet. Hallo Ryder, nachdem ich den Virenscanner von Avira einen kompletten Systemscann hab machen lassen, wollte heute morgen anfangen, meine Daten zu sichern um danach den Rechner neu zu installieren, aber er erkennt die angeschlossene Festplatte nicht. Geändert von Käseklaus (26.01.2013 um 22:36 Uhr) |
|
27.01.2013, 12:49
| #4 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Ich nehme an, es handelt sich um eine externe USB Platte. Da kümmern wir uns am Ende dann drum. Combo hat also den Rechner entsperrt. Jetzt bitte normal booten. Schritt 1: Deinstallation von Programmen Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Temporäre Dateien löschen mit TFC Schritt 4: Scan mit MBAR Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.01.2013, 16:22
| #5 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Hallo Ryder, also das mit der Datensicherung hat hingehauen, da ich zwischendurch ein bisschen warten mußte. Fehlen noch die pst-Dateien aus den Outlooks, aber dann hätte ich wohl alles wichtige gesichert. Nachdem Combofix den Rechner geknackt hatte kam beim Starten immer eine Meldung hoch, dass der Rechner eine Datei nicht findet. Nach den letzten Schritten mit dem cleanup ist die auch verschwunden. Hier kommen jetzt die Log.Daten: Code:
ATTFilter # AdwCleaner v2.108 - Datei am 27/01/2013 um 13:35:14 erstellt
# Aktualisiert am 24/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Hendrik - XXXXXXXXHOME
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Hendrik\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Gelöscht mit Neustart : C:\Programme\Ask.com
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Ordner Gelöscht : C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\AskToolbar
Ordner Gelöscht : C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\pdfforge
Ordner Gelöscht : C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\AskToolbar
Ordner Gelöscht : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[S1].txt - [5047 octets] - [27/01/2013 13:35:14]
########## EOF - C:\AdwCleaner[S1].txt - [5107 octets] ##########
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1016
www.malwarebytes.org
Database version: v2013.01.27.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Hendrik :: XXXXXXXXHOME [administrator]
27.01.2013 14:17:56
mbar-log-2013-01-27 (14-17-56).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 32884
Time elapsed: 19 minute(s), 13 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 1
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Delete on reboot.
Folders Detected: 0
(No malicious items detected)
Files Detected: 5
C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\snp2uvc.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\nv4_mini.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
c:\Dokumente und Einstellungen\Hendrik\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.
c:\Dokumente und Einstellungen\Kerstin\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.
(end)
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1016
www.malwarebytes.org
Database version: v2013.01.27.05
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Hendrik :: XXXXXXXXHOME [administrator]
27.01.2013 15:26:03
mbar-log-2013-01-27 (15-26-03).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 32907
Time elapsed: 19 minute(s), 6 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 3
C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\snp2uvc.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\nv4_mini.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
(end)
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1016
www.malwarebytes.org
Database version: v2013.01.27.05
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Hendrik :: XXXXXXXXHOME [administrator]
27.01.2013 15:52:31
mbar-log-2013-01-27 (15-52-31).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 32912
Time elapsed: 19 minute(s), 8 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 3
C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\snp2uvc.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
C:\WINDOWS\system32\drivers\nv4_mini.sys (Unknown Rootkit Driver Infection) -> Delete on reboot.
(end)
Wenn es raus muss dann bräuchte ich nen Rat wie. Vielen Dank!!! |
|
27.01.2013, 18:42
| #6 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Nein normalerweise nicht. Das ist entweder ein Fehlalarm, oder was ganz Neues. Lass uns das mal untersuchen. Scan mit GMER Bitte lade dir GMER herunter: (Dateiname zufällig)
__________________ --> GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr |
|
27.01.2013, 19:02
| #7 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Da MBAR auch noch beta-Software ist könnte es auch ein Programmfehler sein. Ich habe bei den Entwicklern nachgefragt.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.01.2013, 19:13
| #8 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Hallo Ryder, habe GMER gestartet, aber die Meldung, dass er was gefunden hätte, kommt nicht. Nur ein Bildschirm, der links ganz weiß ist und rechts die oben angesprochenen Auswahlfelder hat. Bin ich dann jetzt geheilt? |
|
27.01.2013, 19:14
| #9 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Du solltest einen Scan damit machen.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.01.2013, 19:24
| #10 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr OK- ich hatte das so verstanden, dass ich das nur muss, wenn diese Meldung kommt. |
|
27.01.2013, 19:39
| #11 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Ok. Also bitte so wie in der Anleitung ausführen.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.01.2013, 19:54
| #12 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr So, Scan ausgeführt, hier ist der Bericht: Code:
ATTFilter GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-27 19:49:48
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-18 MAXTOR_STM3250820AS rev.3.AAE 232,89GB
Running: gmer-2.0.18444.exe; Driver: C:\DOKUME~1\Hendrik\LOKALE~1\Temp\uxtyrpod.sys
---- System - GMER 2.0 ----
SSDT B86B39CC ZwClose
SSDT B86B3986 ZwCreateKey
SSDT B86B39D6 ZwCreateSection
SSDT B86B39AE ZwCreateSymbolicLinkObject
SSDT B86B397C ZwCreateThread
SSDT B86B398B ZwDeleteKey
SSDT B86B3995 ZwDeleteValueKey
SSDT B86B39C7 ZwDuplicateObject
SSDT B86B39B3 ZwLoadDriver
SSDT B86B399A ZwLoadKey
SSDT B86B3968 ZwOpenProcess
SSDT B86B39A9 ZwOpenSection
SSDT B86B396D ZwOpenThread
SSDT B86B39EF ZwQueryValueKey
SSDT B86B39A4 ZwReplaceKey
SSDT B86B39E0 ZwRequestWaitReplyPort
SSDT B86B399F ZwRestoreKey
SSDT B86B39DB ZwSetContextThread
SSDT B86B39E5 ZwSetSecurityObject
SSDT B86B39B8 ZwSetSystemInformation
SSDT B86B3990 ZwSetValueKey
SSDT B86B39EA ZwSystemDebugControl
SSDT B86B3977 ZwTerminateProcess
SSDT B86B3972 ZwWriteVirtualMemory
---- Kernel code sections - GMER 2.0 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FD8 805048D0 4 Bytes [EA, 39, 6B, B8]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB71923C0, 0x843B7A, 0xE8000020]
.reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xB329C480, 0x306DD, 0xE0000060]
---- User code sections - GMER 2.0 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[3696] kernel32.dll!WriteFile 7C8112FF 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- EOF - GMER 2.0 ----
|
|
27.01.2013, 19:55
| #13 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Okay, ich behaupte jetzt, dass diese drei Dateien ein Fehlalarm sind. Dann machen wir noch eine Kontrolle: Schritt 1: ESET Online Scanner Wichtig: Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 2: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
28.01.2013, 07:15
| #14 |
| | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Guten Morgen Ryder, hatte heute Nacht leider Pech beim Abschluss des ESET-Scanns. Der Scan hat geklappt, Bericht folgt. Leider hats mir beim Ausloggen aus ESET irgendwie meinen Avira zerschossen. Ich habe am Ende wohl zu vorschnell auf den Knopf mit "uninstall application after close" gedrückt. Als der Explorer schloß, verschwand auch Avira aus der Startleiste. Seitdem bekomme ich folgende Meldung: "avgnt.exe - Abbild fehlerhaft: Die Anwendung oder DLL C:\Windows\system32\mfc100u.dll ist keine gültige Windowsdatei, überprüfen Sie dies mit der Installationsdiskette." Code:
ATTFilter C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\098310161.js.vir Win32/Reveton.N trojan
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Hendrik\161013890.exe.vir a variant of Win32/Kryptik.ASZF trojan
N:\Mediadownloads\airmixuk.exe Win32/Delf.OAW trojan
V:\Alles Mögliche\BSINSTALL.exe Win32/Adware.SaveNow application
Den zweiten Teil deiner Anleitung habe ich nicht mehr ausgeführt, da ich nicht noch mehr kaputt machen wollte. |
|
29.01.2013, 14:52
| #15 |
| /// TB-Ausbilder | GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr Warum löschst du das? Das auf N war ein Dropper, den ich gerne hätte untersuchen wollen.  Ist nicht schlimm ... jetzt bitte Security Check.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu GVU-Trojaner in Windows XP SP3, auch im abgesicherten Modus, 3 Benutzer, viele Partintionen, es geht nix mehr |
| abgesicherten, avira, benutzer, bild, bildschirm, daten, erwischt, frage, gvu abgesicherter modus, hallo zusammen, heute, hochfahren, interne, internet, internet-explorer, modus, partitionen, security, servicepack, sp3, surfen, system, webcam, windows, windows xp, zusammen |
Button.
und dann 
Linear-Darstellung
