|
Log-Analyse und Auswertung: GVU Trojaner / Skype. datWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.04.2013, 10:22 | #1 |
| GVU Trojaner / Skype. dat Hallo zusammen, meine Frau hat sich beim surfen wohl den GVU Trojaner eingefangen. Plötzlich wurde ihr Bildschirm geblockt mit dem Hinweis sie solle 100 € per PaySafe überweisen um den Laptop wieder freizuschalten. Die Meldung enthielt ein Bild von ihr, das wohl über die Webcam aufgenommen wurde, sowie IP Adresse, Internet Provider und Standort. Ich habe mir den Laptop vorgeknöpft und erstmal die Webcam abgeklebt. Dann Windows Vista im abgesicherten Modus hochgefahren und alle wichtigen Daten auf CD´s gebrannt. Als nächstes GData drüberlaufen lassen. Hierbei wurde ein Virus / Trojaner namens "skype.dat" gefunden. Den habe ich in die Quarantäne verschoben. Der Laptop läßt sich mittlerweile wieder im normalen Modus starten ohne den Erpresserbildschirm. Nächste Schritte waren die Programme Malwarebytes, defogger, OTL und GMER. Die Logs hierzu findet ihr nachstehend. Ich sage schon mal vorab danke für Eure Unterstützung diesen Mist wieder loszuwerden ! Malwarebytes Log Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.06.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Veronika :: VERONIKA-PC [Administrator] 06.04.2013 16:35:32 mbam-log-2013-04-06 (16-35-32).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 199593 Laufzeit: 7 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Veronika\AppData\Roaming\skype.dat (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Defogger Log defogger_disable by jpshortstuff (23.02.10.1) Log created at 17:47 on 06/04/2013 (Veronika) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- OTL LogOTL Logfile: Code:
ATTFilter OTL logfile created on: 06.04.2013 17:51:27 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Veronika\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,93 Gb Total Physical Memory | 1,81 Gb Available Physical Memory | 61,71% Memory free 6,06 Gb Paging File | 4,54 Gb Available in Paging File | 74,88% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 100,00 Gb Total Space | 47,99 Gb Free Space | 47,99% Space Free | Partition Type: NTFS Drive D: | 124,38 Gb Total Space | 124,29 Gb Free Space | 99,93% Space Free | Partition Type: NTFS Drive E: | 4,15 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS Drive F: | 497,38 Mb Total Space | 442,58 Mb Free Space | 88,98% Space Free | Partition Type: FAT Computer Name: VERONIKA-PC | User Name: Veronika | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.04.06 17:49:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Veronika\Desktop\OTL.exe PRC - [2013.01.09 14:01:22 | 001,035,216 | ---- | M] (G Data Software AG) -- C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe PRC - [2012.11.30 06:08:20 | 001,584,624 | ---- | M] (G Data Software AG) -- C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe PRC - [2012.11.29 06:20:10 | 001,475,096 | ---- | M] (G Data Software AG) -- C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe PRC - [2012.11.29 06:13:47 | 001,914,760 | ---- | M] (G Data Software AG) -- C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe PRC - [2012.11.29 05:49:49 | 001,548,312 | ---- | M] (G Data Software AG) -- C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe PRC - [2012.11.29 05:47:08 | 000,469,016 | ---- | M] (G Data Software AG) -- C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe PRC - [2012.03.29 04:42:27 | 000,470,008 | ---- | M] (G Data Software AG) -- C:\Program Files\Common Files\G Data\GDScan\GDScan.exe PRC - [2010.08.29 08:32:30 | 000,304,432 | ---- | M] (BIT LEADER) -- C:\Program Files\lg_swupdate\GiljabiStart.exe PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.04.11 08:27:28 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe PRC - [2008.06.09 22:17:26 | 002,867,200 | ---- | M] (LG Electronics) -- C:\Program Files\LG Software\LG OSD\HotKey.exe PRC - [2008.05.20 02:25:56 | 000,144,688 | ---- | M] (LG Electronics Inc.) -- C:\Program Files\LG Software\LG Magnifier\MagnifyingGlass.exe PRC - [2008.04.21 04:30:20 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe PRC - [2008.04.21 04:30:16 | 000,178,712 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe PRC - [2008.04.17 20:50:00 | 006,111,232 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe PRC - [2008.03.18 21:27:12 | 000,013,312 | ---- | M] (Agere Systems) -- C:\Windows\System32\agrsmsvc.exe PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Defender\MSASCui.exe ========== Modules (No Company Name) ========== MOD - [2013.02.26 11:37:21 | 001,711,616 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\dae1b2e49e240e879a6523025cc306fb\Microsoft.VisualBasic.ni.dll MOD - [2013.02.18 10:39:06 | 012,433,920 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\e64304962098e90f0d3f4c33c1b080a6\System.Windows.Forms.ni.dll MOD - [2013.01.14 16:17:28 | 000,998,400 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Management\f042f66c2ad8fd5b8c34fa22cd22079e\System.Management.ni.dll MOD - [2013.01.14 16:16:13 | 000,220,672 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\CustomMarshalers\be7e9d179601b68d944bca0774562154\CustomMarshalers.ni.dll MOD - [2013.01.14 16:13:59 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\b5df40c22ab563a816103629e2ca99d4\System.Runtime.Remoting.ni.dll MOD - [2013.01.14 16:13:27 | 000,971,264 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\004bc6615f9c06df5c98859d35149fe6\System.Configuration.ni.dll MOD - [2013.01.14 16:13:23 | 005,450,752 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\b757806657fa5db2b1ed1a89b026b463\System.Xml.ni.dll MOD - [2013.01.14 16:12:51 | 001,593,856 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\78157a494dc9a7e52be8840decfcd9cc\System.Drawing.ni.dll MOD - [2013.01.14 16:11:42 | 007,977,984 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\cc149d08e75f8c53cd28ac926b38c370\System.ni.dll MOD - [2013.01.14 16:11:33 | 011,492,352 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\2227d1559f87943255069398608d5c56\mscorlib.ni.dll MOD - [2009.03.30 06:42:13 | 000,372,736 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll MOD - [2009.03.30 06:42:12 | 000,167,936 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_de_b77a5c561934e089\System.Xml.resources.dll MOD - [2009.03.30 06:42:11 | 000,315,392 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2009.03.30 06:42:11 | 000,069,120 | ---- | M] () -- C:\Windows\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll MOD - [2009.03.30 06:42:11 | 000,061,440 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\Microsoft.VisualBasic.resources\8.0.0.0_de_b03f5f7f11d50a3a\Microsoft.VisualBasic.resources.dll ========== Services (SafeList) ========== SRV - [2012.11.30 06:08:20 | 001,584,624 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe -- (AVKWCtl) SRV - [2012.11.29 06:13:47 | 001,914,760 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe -- (GDFwSvc) SRV - [2012.11.29 05:49:49 | 001,548,312 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe -- (AVKProxy) SRV - [2012.11.29 05:47:08 | 000,469,016 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe -- (AVKService) SRV - [2012.03.29 04:42:27 | 000,470,008 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\Common Files\G Data\GDScan\GDScan.exe -- (GDScan) SRV - [2008.04.21 04:30:20 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe -- (IAANTMON) SRV - [2008.03.18 21:27:12 | 000,013,312 | ---- | M] (Agere Systems) [Auto | Running] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio) SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp) DRV - [2013.04.06 11:46:00 | 000,030,416 | ---- | M] (G Data Software) [Kernel | System | Running] -- C:\Windows\System32\drivers\GRD.sys -- (GRD) DRV - [2013.01.14 15:36:31 | 000,051,616 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\PktIcpt.sys -- (GDPkIcpt) DRV - [2013.01.13 19:11:06 | 000,050,080 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\HookCentre.sys -- (HookCentre) DRV - [2013.01.13 19:10:18 | 000,093,600 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\MiniIcpt.sys -- (GDMnIcpt) DRV - [2013.01.13 19:10:17 | 000,054,256 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\gdwfpcd32.sys -- (gdwfpcd) DRV - [2013.01.13 19:10:17 | 000,042,016 | ---- | M] (G Data Software AG) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\GDBehave.sys -- (GDBehave) DRV - [2008.06.05 02:54:22 | 000,113,664 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) DRV - [2008.05.02 22:59:40 | 000,122,368 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2008.03.26 20:32:04 | 000,081,192 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSVD.sys -- (WSVD) DRV - [2008.03.21 21:13:00 | 001,203,776 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2007.05.24 02:33:58 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\WimFltr.sys -- (WimFltr) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.lge.com IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.lge.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wetter.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{1620BD96-F460-4AE3-913A-9E302486AA20}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (BHO) - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Program Files\Common Files\G Data\AVKProxy\BanksafeBHO.dll (G Data Software AG) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O4 - HKLM..\Run: [G Data AntiVirus Tray Application] C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe (G Data Software AG) O4 - HKLM..\Run: [GDFirewallTray] C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe (G Data Software AG) O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4 - HKLM..\Run: [KeybdUtility] C:\Program Files\LG Software\LG OSD\HotKey.exe (LG Electronics) O4 - HKLM..\Run: [LG Intelligent Update] C:\Program Files\lg_swupdate\giljabistart.exe (BIT LEADER) O4 - HKLM..\Run: [LG Magnifier] C:\Program Files\LG Software\LG Magnifier\MagnifyingGlass.exe (LG Electronics Inc.) O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\MalwareBytes\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3C6C3DC6-BB0A-44E0-A90D-652CA297EA6B}: DhcpNameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{971F80EF-CE31-4ACF-91BC-47DD3295A4E2}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.04.06 17:49:52 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Veronika\Desktop\OTL.exe [2013.04.06 16:34:16 | 000,000,000 | ---D | C] -- C:\Users\Veronika\AppData\Roaming\Malwarebytes [2013.04.06 16:33:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.04.06 16:33:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.04.06 16:33:44 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2013.04.06 16:33:00 | 000,000,000 | ---D | C] -- C:\Program Files\MalwareBytes [2013.04.06 11:46:01 | 000,015,600 | ---- | C] (G Data Software) -- C:\Windows\System32\drivers\GdPhyMem.sys ========== Files - Modified Within 30 Days ========== [2013.04.06 17:49:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Veronika\Desktop\OTL.exe [2013.04.06 17:47:51 | 000,000,000 | ---- | M] () -- C:\Users\Veronika\defogger_reenable [2013.04.06 17:46:40 | 000,050,477 | ---- | M] () -- C:\Users\Veronika\Desktop\Defogger.exe [2013.04.06 16:43:17 | 001,033,262 | ---- | M] () -- C:\Windows\System32\sig.bin [2013.04.06 16:43:17 | 000,053,719 | ---- | M] () -- C:\Windows\System32\nmp.map [2013.04.06 16:34:50 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2013.04.06 16:34:50 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2013.04.06 16:34:50 | 000,126,454 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2013.04.06 16:34:50 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2013.04.06 16:33:47 | 000,001,061 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.06 16:30:02 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2013.04.06 16:30:02 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2013.04.06 16:29:53 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.04.06 16:29:50 | 3147,022,336 | -HS- | M] () -- C:\hiberfil.sys [2013.04.06 16:28:40 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat [2013.04.06 11:46:01 | 000,015,600 | ---- | M] (G Data Software) -- C:\Windows\System32\drivers\GdPhyMem.sys [2013.04.06 11:46:00 | 000,030,416 | ---- | M] (G Data Software) -- C:\Windows\System32\drivers\GRD.sys [2013.04.06 11:38:02 | 000,001,986 | ---- | M] () -- C:\Users\Veronika\Desktop\LG Smart Recovery.lnk [2013.04.06 11:38:02 | 000,000,024 | -H-- | M] () -- C:\SystemLang.ini [2013.03.10 22:31:34 | 026,743,935 | ---- | M] () -- C:\Users\Veronika\Wandkalender 2013.cpr ========== Files Created - No Company Name ========== [2013.04.06 17:47:51 | 000,000,000 | ---- | C] () -- C:\Users\Veronika\defogger_reenable [2013.04.06 17:46:40 | 000,050,477 | ---- | C] () -- C:\Users\Veronika\Desktop\Defogger.exe [2013.04.06 16:33:47 | 000,001,061 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.05 16:48:22 | 3147,022,336 | -HS- | C] () -- C:\hiberfil.sys [2013.03.10 22:31:32 | 026,743,935 | ---- | C] () -- C:\Users\Veronika\Wandkalender 2013.cpr [2012.12.08 19:26:44 | 000,000,680 | ---- | C] () -- C:\Users\Veronika\AppData\Local\d3d9caps.dat [2011.07.01 07:48:33 | 001,033,262 | ---- | C] () -- C:\Windows\System32\sig.bin [2011.06.04 15:00:07 | 000,031,007 | ---- | C] () -- C:\Users\Veronika\AppData\Roaming\UserTile.png [2009.05.05 11:15:24 | 000,005,120 | ---- | C] () -- C:\Users\Veronika\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 08:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2011.06.04 15:00:07 | 000,000,000 | ---D | M] -- C:\Users\Veronika\AppData\Roaming\PeerNetworking ========== Purity Check ========== < End of report > GMER Log GMER Logfile: Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-04-07 13:59:27 Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 FUJITSU_ rev.0000 232,89GB Running: gmer_2.1.19163.exe; Driver: C:\Users\Veronika\AppData\Local\Temp\axdyqkog.sys ---- Devices - GMER 2.1 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df052969b Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000df052969b (not active ControlSet) ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ---- |
08.04.2013, 11:16 | #2 |
/// Helfer-Team | GVU Trojaner / Skype. datDownloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers dann: Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ |
08.04.2013, 12:46 | #3 |
| GVU Trojaner / Skype. dat mbar-Log
__________________Malwarebytes Anti-Rootkit BETA 1.01.0.1022 www.malwarebytes.org Database version: v2013.04.08.02 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Veronika :: VERONIKA-PC [administrator] 08.04.2013 13:02:16 mbar-log-2013-04-08 (13-02-16).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 28053 Time elapsed: 13 minute(s), 26 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) AdwCleaner LogAdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.200 - Datei am 08/04/2013 um 13:26:09 erstellt # Aktualisiert am 02/04/2013 von Xplode # Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits) # Benutzer : Veronika - VERONIKA-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Veronika\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16470 [OK] Die Registrierungsdatenbank ist sauber. ************************* AdwCleaner[S1].txt - [584 octets] - [08/04/2013 13:26:09] ########## EOF - C:\AdwCleaner[S1].txt - [643 octets] ########## |
08.04.2013, 17:05 | #4 |
/// Helfer-Team | GVU Trojaner / Skype. dat Sehr gut! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte SecurityCheck und:
|
10.04.2013, 14:34 | #5 |
| GVU Trojaner / Skype. dat so...weiter geht´s aswMBR Log aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Run date: 2013-04-10 10:19:06 ----------------------------- 10:19:06.740 OS Version: Windows 6.0.6002 Service Pack 2 10:19:06.740 Number of processors: 2 586 0xF0D 10:19:06.740 ComputerName: VERONIKA-PC UserName: Veronika 10:19:09.143 Initialize success 10:21:32.699 AVAST engine defs: 13040901 10:21:53.198 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 10:21:53.198 Disk 0 Vendor: FUJITSU_ 0000 Size: 238475MB BusType: 3 10:21:53.432 Disk 0 MBR read successfully 10:21:53.447 Disk 0 MBR scan 10:21:53.494 Disk 0 unknown MBR code 10:21:53.525 Disk 0 Partition 1 00 12 Compaq diag NTFS 1536 MB offset 2048 10:21:53.572 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 102400 MB offset 3147776 10:21:53.603 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 127368 MB offset 212862976 10:21:53.650 Disk 0 Partition 4 00 12 Compaq diag NTFS 7169 MB offset 473712640 10:21:53.681 Disk 0 scanning sectors +488394752 10:21:54.040 Disk 0 scanning C:\Windows\system32\drivers 10:22:07.612 Service scanning 10:22:39.233 Modules scanning 10:22:55.738 Disk 0 trace - called modules: 10:22:55.769 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 10:22:55.769 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8b47a560] 10:22:55.785 3 CLASSPNP.SYS[8f5b18b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8a4eb028] 10:22:56.861 AVAST engine scan C:\Windows 10:23:00.964 AVAST engine scan C:\Windows\system32 10:27:13.934 AVAST engine scan C:\Windows\system32\drivers 10:27:34.635 AVAST engine scan C:\Users\Veronika 10:42:56.517 AVAST engine scan C:\ProgramData 10:43:37.030 Scan finished successfully 10:48:44.678 Disk 0 MBR has been saved successfully to "C:\Users\Veronika\Desktop\MBR.dat" 10:48:44.693 The log file has been saved successfully to "C:\Users\Veronika\Desktop\aswMBR.txt" aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Run date: 2013-04-10 10:19:06 ----------------------------- 10:19:06.740 OS Version: Windows 6.0.6002 Service Pack 2 10:19:06.740 Number of processors: 2 586 0xF0D 10:19:06.740 ComputerName: VERONIKA-PC UserName: Veronika 10:19:09.143 Initialize success 10:21:32.699 AVAST engine defs: 13040901 10:21:53.198 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 10:21:53.198 Disk 0 Vendor: FUJITSU_ 0000 Size: 238475MB BusType: 3 10:21:53.432 Disk 0 MBR read successfully 10:21:53.447 Disk 0 MBR scan 10:21:53.494 Disk 0 unknown MBR code 10:21:53.525 Disk 0 Partition 1 00 12 Compaq diag NTFS 1536 MB offset 2048 10:21:53.572 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 102400 MB offset 3147776 10:21:53.603 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 127368 MB offset 212862976 10:21:53.650 Disk 0 Partition 4 00 12 Compaq diag NTFS 7169 MB offset 473712640 10:21:53.681 Disk 0 scanning sectors +488394752 10:21:54.040 Disk 0 scanning C:\Windows\system32\drivers 10:22:07.612 Service scanning 10:22:39.233 Modules scanning 10:22:55.738 Disk 0 trace - called modules: 10:22:55.769 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 10:22:55.769 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8b47a560] 10:22:55.785 3 CLASSPNP.SYS[8f5b18b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8a4eb028] 10:22:56.861 AVAST engine scan C:\Windows 10:23:00.964 AVAST engine scan C:\Windows\system32 10:27:13.934 AVAST engine scan C:\Windows\system32\drivers 10:27:34.635 AVAST engine scan C:\Users\Veronika 10:42:56.517 AVAST engine scan C:\ProgramData 10:43:37.030 Scan finished successfully 10:48:44.678 Disk 0 MBR has been saved successfully to "C:\Users\Veronika\Desktop\MBR.dat" 10:48:44.693 The log file has been saved successfully to "C:\Users\Veronika\Desktop\aswMBR.txt" 12:29:22.904 Disk 0 MBR has been saved successfully to "C:\Users\Veronika\Desktop\MBR.dat" 12:29:22.982 The log file has been saved successfully to "C:\Users\Veronika\Desktop\aswMBR.txt" ESET Log ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=46cd68a26b98ae4cac57e2a78c7845bc # engine=13587 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-04-10 11:51:24 # local_time=2013-04-10 01:51:24 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=5892 16776573 100 100 92311 203127412 0 0 # scanned=155896 # found=0 # cleaned=0 # scan_time=4593 Security check Log Results of screen317's Security Check version 0.99.61 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` G Data InternetSecurity 2013 Antivirus out of date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java 7 Update 17 Adobe Flash Player 10 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (20.0) ````````Process Check: objlist.exe by Laurent```````` Windows Defender MSASCui.exe G Data InternetSecurity Firewall GDFwSvc.exe G Data InternetSecurity Firewall GDFirewallTray.exe Windows Defender MSASCui.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
10.04.2013, 15:39 | #6 |
/// Helfer-Team | GVU Trojaner / Skype. dat Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________ --> GVU Trojaner / Skype. dat |
10.04.2013, 16:01 | #7 |
| GVU Trojaner / Skype. dat PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Firefox 20.0 ist aktuell Flash (11,7,700,169) ist aktuell. Java ist nicht Installiert oder nicht aktiviert. Adobe Reader ist nicht installiert oder aktiviert. Zurück Tools: StartSeite PluginCheck Secunia Online Scan Weiterführendes: Java Updaten und Einstellen Secunia Personal Software Inspector (PSI) Family: TR/Agent |
10.04.2013, 16:01 | #8 |
/// Helfer-Team | GVU Trojaner / Skype. dat Sehr gut! damit bist Du sauber und entlassen! adwCleaner entfernen
Tool-Bereinigung Die Reihenfolge ist hier entscheidend.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
10.04.2013, 17:37 | #9 |
| GVU Trojaner / Skype. dat Danke Danke Danke , John !! Du bist mein Held vom Erdbeerfeld |
10.04.2013, 18:17 | #10 |
/// Helfer-Team | GVU Trojaner / Skype. dat wunsche eine virenfreie Zeit |
Themen zu GVU Trojaner / Skype. dat |
antivirus, autorun, bho, bildschirm, defender, excel, explorer, firefox, format, gdata, helper, home, internet, logfile, object, origin, plug-in, realtek, registry, security, software, starten, temp, trojaner, virus, vista, windows |