| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner Windows VistaWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.03.2013, 18:48
| #1 |
 |  GVU Trojaner Windows Vista Hallo Leute, ein Unglück kommt selten alleine....so kam gerade mein Nachbar vorbei (älterer Herr) mit dem Anliegen, dass sein Laptop nicht mehr will. Anzeige: GVU Trojaner. Leider komme ich auch im abgesicherten Modus nicht weiter? Kann mir jemand helfen?  |
|
07.03.2013, 20:07
| #2 |
| /// TB-Ausbilder  | GVU Trojaner Windows Vista Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.  Bitte Lesen: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Gelesen und verstanden? Scan mit Farbar's Recovery Scan Tool
__________________ |
|
07.03.2013, 20:50
| #3 |
| | GVU Trojaner Windows Vista Hm...leider hab ich schon die erste Frage...
__________________Über den Bootmanager: --> die Option "Computer reparieren" hab ich nicht oder ist damti die "Verzeichnisdienstwiederherstellung" gemeint? Mit Windows CD/DVD --> die hab ich nicht Gibts noch ne andere Möglichkeit? |
|
07.03.2013, 20:55
| #4 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Es gibt schon noch Möglichkeiten. FRST ist eben die simpelste. Schau mal ob du abgesichert mit Netzwerk oder nur Eingabeaufforderung booten kannst. So funktioniert es:Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter ModusWähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
07.03.2013, 20:59
| #5 |
| | GVU Trojaner Windows Vista Der GVU-Sperrbildschirm kommt leider auch dort.... |
|
07.03.2013, 21:00
| #6 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista bei BEIDEN?
__________________ --> GVU Trojaner Windows Vista |
|
07.03.2013, 21:02
| #7 |
| | GVU Trojaner Windows Vista cmd.exe geht |
|
07.03.2013, 21:09
| #8 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista fein. Computer mit Combofix entsperren Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
07.03.2013, 21:13
| #9 |
| | GVU Trojaner Windows VistaCode:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-03-2013 01
Ran by Virgo at 07-03-2013 21:10:23
Running from F:\
Service Pack 2 (X86) OS Language: German Standard
Attention: Could not load system hive.
FEHLER: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.
==================== One Month Created Files and Folders ========
2013-03-06 21:36 - 2013-03-07 20:58 - 95023320 ___AT C:\ProgramData\5672342.pad
2013-03-06 21:36 - 2013-03-06 21:36 - 00102400 ____A C:\Users\Virgo\2432765.dll
2013-03-06 21:36 - 2013-03-06 21:36 - 00002733 ____A C:\ProgramData\5672342.js
2013-02-16 07:55 - 2013-02-16 07:55 - 00005566 ____A C:\Users\Virgo\Documents\kochs 16 2 13.eml
2013-02-13 02:19 - 2013-02-13 02:19 - 00138992 ____A C:\Windows\Minidump\Mini021313-01.dmp
2013-02-11 11:34 - 2013-02-13 02:19 - 264051687 ____A C:\Windows\MEMORY.DMP
2013-02-11 11:34 - 2013-02-13 02:19 - 00000000 ____D C:\Windows\Minidump
2013-02-11 11:34 - 2013-02-11 11:34 - 00138992 ____A C:\Windows\Minidump\Mini021113-01.dmp
2013-02-09 15:42 - 2013-02-13 02:29 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Irde
2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Zoso
2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Aqela
==================== One Month Modified Files and Folders ========
2013-03-07 21:10 - 2013-03-07 21:10 - 00000000 ____D C:\FRST
2013-03-07 20:58 - 2013-03-06 21:36 - 95023320 ___AT C:\ProgramData\5672342.pad
2013-03-07 20:56 - 2008-09-06 03:38 - 01411749 ____A C:\Windows\WindowsUpdate.log
2013-03-07 20:56 - 2007-12-29 01:44 - 00000012 ____A C:\Windows\bthservsdp.dat
2013-03-07 20:56 - 2006-11-02 14:01 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-03-07 20:56 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-03-07 20:53 - 2011-02-08 14:19 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-03-07 20:52 - 2010-11-24 14:43 - 00000000 ____D C:\ProgramData\Kodak
2013-03-07 18:27 - 2006-11-02 13:47 - 00003168 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-03-07 18:27 - 2006-11-02 13:47 - 00003168 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-03-06 22:08 - 2011-02-08 14:19 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-03-06 22:07 - 2012-05-16 19:44 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-03-06 21:59 - 2012-10-09 14:05 - 00002735 ____A C:\Users\Virgo\Desktop\Microsoft Office Outlook 2003.lnk
2013-03-06 21:36 - 2013-03-06 21:36 - 00102400 ____A C:\Users\Virgo\2432765.dll
2013-03-06 21:36 - 2013-03-06 21:36 - 00002733 ____A C:\ProgramData\5672342.js
2013-03-06 21:36 - 2008-11-10 19:34 - 00000000 ____D C:\users\Virgo
2013-03-06 03:14 - 2006-11-02 11:33 - 00989346 ____A C:\Windows\System32\PerfStringBackup.INI
2013-03-05 20:57 - 2012-05-16 19:45 - 00001971 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-03-01 00:44 - 2011-02-08 14:21 - 00000680 ____A C:\Users\Virgo\AppData\Local\d3d9caps.dat
2013-02-28 12:25 - 2008-11-10 20:40 - 00002637 ____A C:\Users\Virgo\Desktop\Microsoft Office Word 2003.lnk
2013-02-28 07:18 - 2012-05-16 19:44 - 00691568 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-02-28 07:18 - 2012-05-16 19:44 - 00071024 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-02-16 07:55 - 2013-02-16 07:55 - 00005566 ____A C:\Users\Virgo\Documents\kochs 16 2 13.eml
2013-02-13 02:29 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Irde
2013-02-13 02:19 - 2013-02-13 02:19 - 00138992 ____A C:\Windows\Minidump\Mini021313-01.dmp
2013-02-13 02:19 - 2013-02-11 11:34 - 264051687 ____A C:\Windows\MEMORY.DMP
2013-02-13 02:19 - 2013-02-11 11:34 - 00000000 ____D C:\Windows\Minidump
2013-02-11 11:34 - 2013-02-11 11:34 - 00138992 ____A C:\Windows\Minidump\Mini021113-01.dmp
2013-02-11 11:34 - 2008-01-02 19:27 - 00158806 ____A C:\Windows\PFRO.log
2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Zoso
2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Aqela
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== Memory info ===========================
Percentage of memory in use: 9%
Total physical RAM: 3069.69 MB
Available physical RAM: 2765.94 MB
Total Pagefile: 6339.79 MB
Available Pagefile: 6193.31 MB
Total Virtual: 2047.88 MB
Available Virtual: 1954.92 MB
==================== Partitions =============================
1 Drive c: () (Fixed) (Total:144.09 GB) (Free:94.18 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: () (Fixed) (Total:144 GB) (Free:143.66 GB) NTFS
4 Drive f: (EBM) (Removable) (Total:1.83 GB) (Free:1.83 GB) FAT32
Datentr ### Status Grî·e Frei Dyn GPT
-------- ---------- ------- ------- --- ---
0 Online 298 GB 0 B
1 Online 1877 MB 0 B
Last Boot: 2013-03-07 18:54
==================== End Of Log ============================
|
|
07.03.2013, 21:21
| #10 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Nein. Bitte Combofix ausführen. ausserdem lesen: Lesestoff:Banking-Trojaner Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
07.03.2013, 21:26
| #11 |
| | GVU Trojaner Windows Vista habs gleich.... Hab nen Fehler gemacht...Moment Combofix läuft jetzt Combofix Logfile: Code:
ATTFilter ComboFix 13-03-07.02 - Virgo 07.03.2013 21:33:22.1.2 - x86 MINIMAL
ausgef¸hrt von:: c:\users\Virgo\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Lˆschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\5672342.js
c:\programdata\5672342.pad
c:\users\Virgo\2432765.dll
c:\users\Virgo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
c:\users\Virgo\AppData\Roaming\Zoso
c:\users\Virgo\AppData\Roaming\Zoso\ixov.exe
c:\users\Virgo\Documents\~WRL2448.tmp
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-07 bis 2013-03-07 ))))))))))))))))))))))))))))))
.
.
2013-03-07 20:39 . 2013-03-07 20:39 -------- d-----w- c:\users\Maxi\AppData\Local\temp
2013-03-07 20:39 . 2013-03-07 20:40 -------- d-----w- c:\users\Virgo\AppData\Local\temp
2013-03-07 20:39 . 2013-03-07 20:39 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-03-07 20:10 . 2013-03-07 20:10 -------- d-----w- C:\FRST
2013-02-09 14:42 . 2013-02-13 01:29 -------- d-----w- c:\users\Virgo\AppData\Roaming\Irde
2013-02-09 14:42 . 2013-02-09 14:42 -------- d-----w- c:\users\Virgo\AppData\Roaming\Aqela
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-28 06:18 . 2012-05-16 18:44 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-28 06:18 . 2012-05-16 18:44 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]
"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"VideoDownloadConverter Search Scope Monitor"="c:\progra~1\VIDEOD~2\bar\1.bin\4zsrchmn.exe" [2012-09-05 42536]
"VideoDownloadConverter_4z Browser Plugin Loader"="c:\progra~1\VIDEOD~2\bar\1.bin\4zbrmon.exe" [2012-09-05 30096]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-05 19:52 1630672 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]
.
2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
2013-03-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm179YYde&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&si=162553561
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?babsrc=HP_Prot
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&n=77ee3806&ind=2012100614&id=HJxdm179YYde&ptnrS=HJxdm179YYde&si=162553561&searchfor=
FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: VideoDownloadConverter: 4zffxtbr@VideoDownloadConverter_4z.com - %profile%\extensions\4zffxtbr@VideoDownloadConverter_4z.com
FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com
FF - Ext: VideoDownloadConverter: 4zffxtbr@VideoDownloadConverter_4z.com - c:\program files\VideoDownloadConverter_4z\bar\1.bin
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
HKCU-Run-Giyxo - c:\users\Virgo\AppData\Roaming\Zoso\ixov.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-07 21:40
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteintr‰ge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-03-07 21:42:27
ComboFix-quarantined-files.txt 2013-03-07 20:42
.
Vor Suchlauf: 11 Verzeichnis(se), 101.883.125.760 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 102.776.541.184 Bytes frei
.
- - End Of File - - B6FAA29497AC6647DFE20EE0EEFB8CF3
|
|
07.03.2013, 21:46
| #12 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Okay dann weiter: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Jetzt normal booten. Schritt 2: Deinstallation von Programmen Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte Schritt 4: Temporäre Dateien löschen mit TFC
Schritt 5: Nochmal Combofix laufen lassen.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
07.03.2013, 22:25
| #13 |
| | GVU Trojaner Windows Vista AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.114 - Datei am 07/03/2013 um 22:02:01 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Virgo - VIRGO-PC
# Bootmodus : Normal
# Ausgef¸hrt unter : C:\Users\Virgo\Desktop\adwcleaner.exe
# Option [Lˆschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelˆscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelˆscht : C:\user.js
Datei Gelˆscht : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\searchplugins\my-web-search.xml
Datei Gelˆscht : C:\Users\Public\Desktop\Media Finder.lnk
Datei Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\searchplugins\Askcom.xml
Datei Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\searchplugins\my-web-search.xml
Ordner Gelˆscht : C:\Program Files\Media Finder
Ordner Gelˆscht : C:\ProgramData\Babylon
Ordner Gelˆscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder
Ordner Gelˆscht : C:\Users\Maxi\AppData\Local\AskToolbar
Ordner Gelˆscht : C:\Users\Maxi\AppData\Local\VideoDownloadConverter_4z
Ordner Gelˆscht : C:\Users\Maxi\AppData\LocalLow\BabylonToolbar
Ordner Gelˆscht : C:\Users\Maxi\AppData\LocalLow\VideoDownloadConverter_4z
Ordner Gelˆscht : C:\Users\Virgo\AppData\Local\APN
Ordner Gelˆscht : C:\Users\Virgo\AppData\Local\Babylon
Ordner Gelˆscht : C:\Users\Virgo\AppData\LocalLow\BabylonToolbar
Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Babylon
Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Media Finder
Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\@themediafinder.com
Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\gencrawler@some.com
Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\extensions\ffxtlbr@babylon.com
***** [Registrierungsdatenbank] *****
Schl¸ssel Gelˆscht : HKCU\Software\MediaFinder
Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{414C790F-E24E-461B-983A-2AD84474DE4B}_is1
Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA4520F3-AE13-4FB1-A513-58E23991C86D}
Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA4520F3-AE13-4FB1-A513-58E23991C86D}
Schl¸ssel Gelˆscht : HKLM\Software\Babylon
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{3F39D17D-50C7-4AC4-A63A-CDF6CDBD0C61}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\IEPlugin.DLL
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{CA4520F3-AE13-4FB1-A513-58E23991C86D}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\gencrawler_gc.GenCrawler
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\Interface\{AE9908C1-3400-4B10-9061-C6C04D96E3D2}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\MF
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\Prod.cap
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA4520F3-AE13-4FB1-A513-58E23991C86D}
Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{414C790F-E24E-461B-983A-2AD84474DE4B}_is1
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16421
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm179YYde&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&si=162553561 --> hxxp://www.google.com
-\\ Mozilla Firefox v3.0.4 (de)
Datei : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\prefs.js
C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\user.js ... Gelˆscht !
Gelˆscht : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Gelˆscht : user_pref("browser.search.order.1", "Ask.com");
Gelˆscht : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Gelˆscht : user_pref("browser.startup.homepage", "hxxp://search.babylon.com/?babsrc=HP_Prot");
Gelˆscht : user_pref("extensions.BabylonToolbar.admin", false);
Gelˆscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Gelˆscht : user_pref("extensions.BabylonToolbar.babExt", "");
Gelˆscht : user_pref("extensions.BabylonToolbar.babTrack", "affID=110482");
Gelˆscht : user_pref("extensions.BabylonToolbar.bbDpng", 3);
Gelˆscht : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Gelˆscht : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Gelˆscht : user_pref("extensions.BabylonToolbar.hmpg", true);
Gelˆscht : user_pref("extensions.BabylonToolbar.id", "ecebe61d000000000000001de044c889");
Gelˆscht : user_pref("extensions.BabylonToolbar.instlDay", "15382");
Gelˆscht : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Gelˆscht : user_pref("extensions.BabylonToolbar.lastDP", 3);
Gelˆscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1714:54:27");
Gelˆscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.0");
Gelˆscht : user_pref("extensions.BabylonToolbar.newTab", true);
Gelˆscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Gelˆscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Gelˆscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gelˆscht : user_pref("extensions.BabylonToolbar.propectorlck", 93121279);
Gelˆscht : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Gelˆscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);
Gelˆscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gelˆscht : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Gelˆscht : user_pref("extensions.BabylonToolbar.smplGrp", "azb");
Gelˆscht : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Gelˆscht : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Gelˆscht : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Gelˆscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1714:54:27");
Gelˆscht : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.babExt", "");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110482");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.hardId", "ecebe61d000000000000001de044c889");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.id", "ecebe61d000000000000001de044c889");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15382");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.newTab", false);
Gelˆscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1714:54:27");
Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Gelˆscht : user_pref("extensions.mywebsearch.prevDefaultEngine", "Ask.com");
Gelˆscht : user_pref("extensions.mywebsearch.prevKwdEnabled", true);
Gelˆscht : user_pref("extensions.mywebsearch.prevSelectedEngine", "Ask.com");
Gelˆscht : user_pref("extensions.toolbar.mindspark._4zMembers_.homepage", "hxxp://home.mywebsearch.com/index.jh[...]
Gelˆscht : user_pref("keyword.URL", "hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=9871B035[...]
Datei : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\prefs.js
Gelˆscht : user_pref("browser.search.defaultengine", "Ask.com");
Gelˆscht : user_pref("browser.search.defaultenginename", "Ask.com");
Gelˆscht : user_pref("browser.search.order.1", "Ask.com");
Gelˆscht : user_pref("browser.search.selectedEngine", "Ask.com");
Gelˆscht : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale[...]
Gelˆscht : user_pref("extensions.asktb.ff-original-keyword-url", "");
Gelˆscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10395&loc[...]
-\\ Google Chrome v25.0.1364.152
Datei : C:\Users\Virgo\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gelˆscht [l.23] : icon_url = "hxxp://www.ask.com/favicon.ico",
Gelˆscht [l.26] : keyword = "ask.com",
Gelˆscht [l.29] : search_url = "hxxp://websearch.ask.com/redirect?client=cr&src=kw&tb=AVR-3&o=APN10395&locale=d[...]
Gelˆscht [l.30] : suggest_url = "hxxp://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms[...]
Gelˆscht [l.1673] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE",
Gelˆscht [l.1877] : urls_to_restore_on_startup = [ "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale[...]
Datei : C:\Users\Maxi\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[S1].txt - [10138 octets] - [07/03/2013 22:02:01]
########## EOF - C:\AdwCleaner[S1].txt - [10199 octets] ##########
AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.114 - Datei am 07/03/2013 um 22:05:13 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Virgo - VIRGO-PC
# Bootmodus : Normal
# Ausgef¸hrt unter : C:\Users\Virgo\Desktop\adwcleaner.exe
# Option [Lˆschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v3.0.4 (de)
Datei : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\prefs.js
[OK] Die Datei ist sauber.
Datei : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\prefs.js
[OK] Die Datei ist sauber.
-\\ Google Chrome v25.0.1364.152
Datei : C:\Users\Virgo\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
Datei : C:\Users\Maxi\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[S1].txt - [10269 octets] - [07/03/2013 22:02:01]
AdwCleaner[S2].txt - [1179 octets] - [07/03/2013 22:05:13]
########## EOF - C:\AdwCleaner[S2].txt - [1239 octets] ##########
Combofix Logfile: Code:
ATTFilter ComboFix 13-03-07.02 - Virgo 07.03.2013 22:15:41.1.2 - x86
MicrosoftÆ Windows Vistaô Home Premium 6.0.6002.2.1252.49.1031.18.3070.2221 [GMT 1:00]
ausgef¸hrt von:: c:\users\Virgo\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-07 bis 2013-03-07 ))))))))))))))))))))))))))))))
.
.
2013-03-07 21:21 . 2013-03-07 21:21 -------- d-----w- c:\users\Virgo\AppData\Local\temp
2013-03-07 21:21 . 2013-03-07 21:21 -------- d-----w- c:\users\Maxi\AppData\Local\temp
2013-03-07 21:21 . 2013-03-07 21:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-03-07 20:10 . 2013-03-07 20:10 -------- d-----w- C:\FRST
2013-02-09 14:42 . 2013-02-13 01:29 -------- d-----w- c:\users\Virgo\AppData\Roaming\Irde
2013-02-09 14:42 . 2013-02-09 14:42 -------- d-----w- c:\users\Virgo\AppData\Roaming\Aqela
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-28 06:18 . 2012-05-16 18:44 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-28 06:18 . 2012-05-16 18:44 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]
"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-05 19:52 1630672 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]
.
2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\
FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-07 22:21
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteintr‰ge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3096)
c:\windows\system32\btmmhook.dll
.
Zeit der Fertigstellung: 2013-03-07 22:23:39
ComboFix-quarantined-files.txt 2013-03-07 21:23
ComboFix2.txt 2013-03-07 20:42
.
Vor Suchlauf: 13 Verzeichnis(se), 102.743.097.344 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 102.403.837.952 Bytes frei
.
- - End Of File - - FDD0DF1ED45710294C0B59460BD10D81
Hoffe ich hab alles richtig gemacht?! |
|
07.03.2013, 22:46
| #14 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Zwei Reste noch, dann ist es geschafft  Combofix-Skript
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
08.03.2013, 06:36
| #15 |
| | GVU Trojaner Windows Vista Oh entschuldige. Ich dachte gestern du wärst offline, deswegen bin ich auch gegangen. Ich werde mich nach der Arbeit (heute nachmittag) gleich wieder dran setzen und dir die Ergebnisse mitteilen. Vielen Dank schon mal. :-) Combofix Logfile: Code:
ATTFilter ComboFix 13-03-07.03 - Virgo 08.03.2013 15:34:42.2.2 - x86
MicrosoftÆ Windows Vistaô Home Premium 6.0.6002.2.1252.49.1031.18.3070.2270 [GMT 1:00]
ausgef¸hrt von:: F:\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Virgo\Desktop\CFScript - Verkn≥pfung.lnk
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-08 bis 2013-03-08 ))))))))))))))))))))))))))))))
.
.
2013-03-08 14:39 . 2013-03-08 14:39 -------- d-----w- c:\users\Virgo\AppData\Local\temp
2013-03-08 14:39 . 2013-03-08 14:39 -------- d-----w- c:\users\Maxi\AppData\Local\temp
2013-03-08 14:39 . 2013-03-08 14:39 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-03-07 20:10 . 2013-03-07 20:10 -------- d-----w- C:\FRST
2013-02-09 14:42 . 2013-02-13 01:29 -------- d-----w- c:\users\Virgo\AppData\Roaming\Irde
2013-02-09 14:42 . 2013-02-09 14:42 -------- d-----w- c:\users\Virgo\AppData\Roaming\Aqela
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-28 06:18 . 2012-05-16 18:44 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-28 06:18 . 2012-05-16 18:44 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]
"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-05 19:52 1630672 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]
.
2013-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\
FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-08 15:39
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteintr‰ge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3144)
c:\windows\system32\btmmhook.dll
.
Zeit der Fertigstellung: 2013-03-08 15:40:40
ComboFix-quarantined-files.txt 2013-03-08 14:40
ComboFix2.txt 2013-03-07 21:23
ComboFix3.txt 2013-03-07 20:42
.
Vor Suchlauf: 13 Verzeichnis(se), 102.433.849.344 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 102.408.052.736 Bytes frei
.
- - End Of File - - 7D86026C75FBB364C245186F7BACF9C0
Soweit ich das sehe kommen die Anweisungen nicht vor oder? |
|
| Themen zu GVU Trojaner Windows Vista |
| abgesicherte, abgesicherten, abgesicherten modus, gvu trojaner, laptop, leute, modus, nachbar, nicht mehr, troja, trojaner, vista, windows, windows vista |
Linear-Darstellung
