|
Plagegeister aller Art und deren Bekämpfung: Windows 7 GVU 2.11 Trojaner blockt PCWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.01.2013, 13:02 | #1 | |
| Windows 7 GVU 2.11 Trojaner blockt PC Ich habe seit kurzem den GVU 2.11 Trojaner auf meinem Laptop und hoffe ihr könnt mir helfen. Ich habe schon die FRST.exe benutzt und das Hitman Programm hat nicht funktioniert (Blue Screen) hier erstmal die FRST.exe log Zitat:
|
27.01.2013, 15:41 | #2 |
| Windows 7 GVU 2.11 Trojaner blockt PC hier noch die OTLPENet.exe Einträge im Anhang
__________________ |
28.01.2013, 13:46 | #3 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PCFixen mit OTLpe
Code:
ATTFilter :OTL SRV - [2013/01/25 23:34:27 | 000,227,328 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Users\Max\AppData\Local\Temp\55zODtw.exe -- (Winmgmt) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 [2013/01/25 23:34:33 | 000,001,071 | ---- | M] () -- C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013/01/27 04:00:06 | 095,023,320 | ---- | M] () -- C:\ProgramData\wtDOz55.pad [2013/01/25 23:34:33 | 000,003,149 | ---- | M] () -- C:\ProgramData\wtDOz55.js [2012/06/29 15:02:28 | 004,503,728 | ---- | C] () -- C:\ProgramData\l_u0_0.pad :Files ipconfig /flushdns /c :Commands [emptytemp]
__________________ |
28.01.2013, 14:10 | #4 |
| Windows 7 GVU 2.11 Trojaner blockt PC hier die Log Code:
ATTFilter ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt deleted successfully. C:\Users\Max\AppData\Local\Temp\55zODtw.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully. C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully. C:\ProgramData\wtDOz55.pad moved successfully. C:\ProgramData\wtDOz55.js moved successfully. C:\ProgramData\l_u0_0.pad moved successfully. ========== FILES ========== < ipconfig /flushdns /c > Windows IP Configuration An internal error occurred: The system cannot find the file specified. Please contact Microsoft Product Support Services for further help. Additional information: Unable to open registry key for tcpip. C:\cmd.bat deleted successfully. C:\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] Empty user temp failed. Cannot find local settings folders. Empty user temp failed. Cannot find local settings folders. Empty user temp failed. Cannot find local settings folders. Empty user temp failed. Cannot find local settings folders. Empty user temp failed. Cannot find local settings folders. %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 76086484 bytes Total Files Cleaned = 73.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 01282013_140412 es kommt immer eine Meldung "Server sind ausgelastet" habe den W-Lan noch nicht angemacht Geändert von M4STR0W0 (28.01.2013 um 14:23 Uhr) |
28.01.2013, 18:15 | #5 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Sehr gut! Windows Repair Tool (AIO)
danach: 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
28.01.2013, 20:46 | #6 |
| Windows 7 GVU 2.11 Trojaner blockt PC Malewarebyter Logs Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.01.28.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Max :: MAXIMILAN-PC [Administrator] 28.01.2013 18:51:30 mbam-log-2013-01-28 (18-51-30).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 357503 Laufzeit: 1 Stunde(n), 43 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Windows\System32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\01282013_140412\C_Users\Max\AppData\Local\Temp\55zODtw.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter # AdwCleaner v2.109 - Datei am 28/01/2013 um 20:40:08 erstellt # Aktualisiert am 26/01/2013 von Xplode # Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits) # Benutzer : Max - XXXXX-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Max\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gelöscht : C:\Program Files\Ask.com Ordner Gelöscht : C:\Users\Max\AppData\LocalLow\AskToolbar Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\APN Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} Schlüssel Gelöscht : HKLM\Software\APN Schlüssel Gelöscht : HKLM\Software\AskToolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1 Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16457 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v18.0.1 (de) Datei : C:\Users\Max\AppData\Roaming\Mozilla\Firefox\Profiles\x45ibl48.default\prefs.js Gelöscht : user_pref("browser.search.defaultengine", "Ask.com"); Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com"); Gelöscht : user_pref("browser.search.order.1", "Ask.com"); Gelöscht : user_pref("browser.search.selectedEngine", "Ask.com"); Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", ""); Gelöscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10395&loc[...] ************************* AdwCleaner[S1].txt - [4187 octets] - [28/01/2013 20:40:08] ########## EOF - C:\AdwCleaner[S1].txt - [4247 octets] ########## |
28.01.2013, 20:52 | #7 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Sehr gut! Wie laeuft der Rechner? Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html danach: Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. |
28.01.2013, 23:13 | #8 |
| Windows 7 GVU 2.11 Trojaner blockt PC Emisoft Anti-Malware log Code:
ATTFilter Emsisoft Anti-Malware - Version 7.0 Letztes Update: 28.01.2013 21:02:42 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\ Riskware-Erkennung: Aus Archiv Scan: An ADS Scan: An Dateitypen-Filter: Aus Erweitertes Caching: An Direkter Festplattenzugriff: Aus Scan Beginn: 28.01.2013 21:04:34 C:\_OTL\MovedFiles\01282013_140412\C_ProgramData\wtDOz55.js gefunden: Trojan.Script.480412 (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1eba2606.qua -> (Quarantine-8) -> (INFECTED_JS) gefunden: PDF:Exploit.PDF-JS.GT (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1f475a5a.qua -> (Quarantine-8) -> (INFECTED_JS) gefunden: JS:Trojan.Crypt.EQ (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4cb67cda.qua -> (Quarantine-8) gefunden: Trojan.Generic.KD.707753 (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d1e0087.qua -> (Quarantine-8) gefunden: Trojan.Java.Downloader.AP (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\559ed62d.qua -> (Quarantine-8) gefunden: Trojan.Generic.KD.633244 (B) Gescannt 481676 Gefunden 6 Scan Ende: 28.01.2013 22:49:32 Scan Zeit: 1:44:58 C:\ProgramData\Avira\AntiVir Desktop\INFECTED\559ed62d.qua -> (Quarantine-8) Quarantäne Trojan.Generic.KD.633244 (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d1e0087.qua -> (Quarantine-8) Quarantäne Trojan.Java.Downloader.AP (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4cb67cda.qua -> (Quarantine-8) Quarantäne Trojan.Generic.KD.707753 (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1f475a5a.qua -> (Quarantine-8) -> (INFECTED_JS) Quarantäne JS:Trojan.Crypt.EQ (B) C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1eba2606.qua -> (Quarantine-8) -> (INFECTED_JS) Quarantäne PDF:Exploit.PDF-JS.GT (B) C:\_OTL\MovedFiles\01282013_140412\C_ProgramData\wtDOz55.js Quarantäne Trojan.Script.480412 (B) Quarantäne 6 Code:
ATTFilter aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software Run date: 2013-01-28 22:51:49 ----------------------------- 22:51:49.811 OS Version: Windows 6.1.7601 Service Pack 1 22:51:49.811 Number of processors: 2 586 0x170A 22:51:49.811 ComputerName: XXXXX UserName: Max 22:52:26.612 Initialize success 22:53:30.839 AVAST engine defs: 13012800 22:54:02.585 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 22:54:02.601 Disk 0 Vendor: TOSHIBA_MK4055GSX FG011M Size: 381554MB BusType: 11 22:54:02.617 Disk 0 MBR read successfully 22:54:02.632 Disk 0 MBR scan 22:54:02.648 Disk 0 Windows 7 default MBR code 22:54:02.648 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 1500 MB offset 2048 22:54:02.679 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 190618 MB offset 3074048 22:54:02.695 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 189434 MB offset 393459712 22:54:02.726 Disk 0 scanning sectors +781420720 22:54:02.804 Disk 0 scanning C:\Windows\system32\drivers 22:54:14.301 Service scanning 22:54:48.091 Modules scanning 22:55:12.271 Disk 0 trace - called modules: 22:55:12.302 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS PCIIDEX.SYS msahci.sys 22:55:12.318 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85ccd560] 22:55:12.318 3 CLASSPNP.SYS[8ac0459e] -> nt!IofCallDriver -> [0x857f5918] 22:55:12.333 5 ACPI.sys[8a8be3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85820908] 22:55:14.174 AVAST engine scan C:\Windows 22:55:16.358 AVAST engine scan C:\Windows\system32 22:58:21.951 AVAST engine scan C:\Windows\system32\drivers 22:58:40.016 AVAST engine scan C:\Users\Max 23:07:26.455 AVAST engine scan C:\ProgramData 23:09:26.154 Scan finished successfully 23:09:42.939 Disk 0 MBR has been saved successfully to "C:\Users\Max\Desktop\MBR.dat" 23:09:42.939 The log file has been saved successfully to "C:\Users\Max\Desktop\aswMBR.txt" pardon, der "Server ist ausgelastet" Fehler ist immer noch da wenn ich den PC neustarte |
29.01.2013, 13:31 | #9 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Bitte mal ausfuehren: http://www.trojaner-board.de/72874-s...eparieren.html Danach: - neustarten danach: Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
|
29.01.2013, 15:30 | #10 |
| Windows 7 GVU 2.11 Trojaner blockt PCCode:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6889 # api_version=3.0.2 # EOSSerial=aad71b3fc066854d876f2c9f70893aaa # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-01-29 02:27:36 # local_time=2013-01-29 03:27:36 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 99 250814 224892946 243587 0 # compatibility_mode=5893 16776574 66 94 26110610 111100847 0 0 # scanned=190733 # found=1 # cleaned=1 # scan_time=4535 C:\Users\Max\AppData\Local\Temp\jar_cache416717947162769784.tmp a variant of Java/Exploit.CVE-2013-0422.AY trojan (deleted - quarantined) 2C0FEA8955C6358A5F2D6AA33FBECE9EBFBB9257 C |
29.01.2013, 15:40 | #11 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Downloade Dir bitte SecurityCheck von einem der folgenden Links: LINK1 LINK2
|
29.01.2013, 15:59 | #12 |
| Windows 7 GVU 2.11 Trojaner blockt PC Bekomme ein Error AutoIt Error Line -1: Error : Variable must be of type "Object". Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x86 (UAC is disabled!) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` MVPS Hosts File Spybot - Search & Destroy Malwarebytes Anti-Malware Version 1.70.0.1100 CCleaner Java(TM) 6 Update 22 Java(TM) 6 Update 29 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader 10.1.5 Adobe Reader out of Date! Mozilla Firefox (18.0.1) ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
29.01.2013, 19:04 | #13 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Ist auf C: ein Ordner namens Tweaking? wenn ja Zippen und hier anhaengen. |
29.01.2013, 19:07 | #14 |
| Windows 7 GVU 2.11 Trojaner blockt PC Ich hoffe du meinst das |
29.01.2013, 19:36 | #15 |
/// Helfer-Team | Windows 7 GVU 2.11 Trojaner blockt PC Deinstalliere Spybot! danach nochmal Win Repair wie hier: http://www.trojaner-board.de/130163-...ml#post1000554 |
Themen zu Windows 7 GVU 2.11 Trojaner blockt PC |
adobe, adobe flash player, antivir, association, attention, avg, dateien, desktop, explorer.exe, farbar, farbar recovery scan tool, fehlercode 0x8007042c, flash player, frst.exe, gvu 2.11, installation, microsoft, minidump, mozilla, opera, programm, registry, scan, services.exe, svchost.exe, system, temp, trojaner, windows, winlogon.exe |