| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner Windows VistaWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
26.02.2014, 19:56
| #1 |
| |  GVU Trojaner Windows Vista Hallo liebes Forum-Team. Ich habe mir ärgerlicher Weise den Bundestrojaner eingefangen. Habe bereits folgendes unternommen: Mit Kaspersky Rescue Disk den Rechner über diese CD prüfen lassen (hat sage und schreibe 81 Viren auf meinem Rechner gefunden und gelöscht)  Dies brachte leider kein Erfolg, der Sperrbildschirm erscheint immer noch. Mit dem Trick Strg-Alt-Entf und dann die SHIFT Taste gedrückt halten usw. habe ich wenigstens den Sperrbildschirm aus gekriegt und dann das Farbar Recovery Scan Tool durchlaufen lassen. Die Dateien habe ich als Anhang beigefügt. Wie verfahre ich jetzt weiter. Danke schonmal für eure Hilfe. Gruß Matze |
|
26.02.2014, 20:49
| #2 |
| /// TB-Ausbilder   | GVU Trojaner Windows Vista Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Bei dir ist mehr im Argen... Wir beginnen erst mal so: Scan mit Combofix
|
|
27.02.2014, 11:32
| #3 |
| | GVU Trojaner Windows Vista Danke für die schnelle Antwort.
__________________Hier meine Log-Datei: Code:
ATTFilter ComboFix 14-02-24.02 - Vostro 27.02.2014 9:09.1.2 - x86
ausgeführt von:: c:\users\Vostro\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\kikin
c:\program files\kikin\config.ini
c:\program files\kikin\configuration.xml
c:\program files\kikin\ie_kikin.dll
c:\program files\kikin\kikin.ico
c:\program files\kikin\KikinBroker.exe
c:\program files\kikin\uninst.exe
c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
c:\programdata\dsgsdgdsgdsgw.pad
c:\programdata\erolpxei.pad
c:\programdata\fl4z8jznbf.cpp
c:\programdata\HotbarSA
c:\programdata\HotbarSA\HotbarSA.dat
c:\programdata\HotbarSA\HotbarSA_hpk.dat
c:\programdata\HotbarSA\HotbarSA_kyf.dat
c:\programdata\HotbarSA\HotbarSAAbout.mht
c:\programdata\HotbarSA\HotbarSAau.dat
c:\programdata\HotbarSA\HotbarSAEULA.mht
c:\programdata\lsass.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Games!.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Videos!.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Reset Cursor.lnk
c:\users\Vostro\AppData\Local\lame_enc.dll
c:\users\Vostro\AppData\Local\no23xwrapper.dll
c:\users\Vostro\AppData\Local\ogg.dll
c:\users\Vostro\AppData\Local\vnajdrq.dll
c:\users\Vostro\AppData\Local\vorbis.dll
c:\users\Vostro\AppData\Local\vorbisenc.dll
c:\users\Vostro\AppData\Local\vorbisfile.dll
c:\users\Vostro\AppData\Roaming\kikin
c:\users\Vostro\AppData\Roaming\kikin\ff_kkes.xml
c:\users\Vostro\AppData\Roaming\kikin\ie_kkes.xml
c:\users\Vostro\AppData\Roaming\kikin\ie_settings.xml
c:\users\Vostro\AppData\Roaming\WeatherDPA
c:\users\Vostro\Documents\~WRL1298.tmp
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-01-27 bis 2014-02-27 ))))))))))))))))))))))))))))))
.
.
2014-02-27 08:24 . 2014-02-27 10:21 -------- d-----w- c:\users\Vostro\AppData\Local\temp
2014-02-27 08:24 . 2014-02-27 08:24 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2014-02-27 08:24 . 2014-02-27 08:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-02-26 18:44 . 2014-02-06 07:08 7947048 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{F53A342B-A194-4211-9F2D-6CBE82A2AB3E}\mpengine.dll
2014-02-26 18:30 . 2014-02-26 18:30 -------- d-----w- c:\program files\IObit Toolbar
2014-02-26 18:29 . 2014-02-26 18:41 -------- d-----w- C:\FRST
2014-02-21 20:37 . 2014-02-25 08:35 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2014-02-21 19:14 . 2014-02-21 19:14 -------- d-----w- c:\users\Default\AppData\Roaming\IObit
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-01-04 19:17 . 2014-01-04 19:17 1129472 ----a-w- c:\windows\system32\wininet.dll
2014-01-04 19:17 . 2014-01-04 19:17 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2014-01-04 19:17 . 2014-01-04 19:17 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2014-01-04 19:17 . 2014-01-04 19:17 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2014-01-04 19:17 . 2014-01-04 19:17 1806848 ----a-w- c:\windows\system32\jscript9.dll
2014-01-04 19:17 . 2014-01-04 19:17 420864 ----a-w- c:\windows\system32\vbscript.dll
2014-01-04 19:15 . 2014-01-04 19:15 2050560 ----a-w- c:\windows\system32\win32k.sys
2014-01-04 19:14 . 2014-01-04 19:14 36864 ----a-w- c:\windows\system32\wshcon.dll
2014-01-04 19:14 . 2014-01-04 19:14 172032 ----a-w- c:\windows\system32\scrrun.dll
2014-01-04 19:14 . 2014-01-04 19:14 155648 ----a-w- c:\windows\system32\wscript.exe
2014-01-04 19:14 . 2014-01-04 19:14 135168 ----a-w- c:\windows\system32\cscript.exe
2014-01-04 19:14 . 2014-01-04 19:14 131072 ----a-w- c:\windows\system32\wshom.ocx
2014-01-04 19:14 . 2014-01-04 19:14 335360 ----a-w- c:\windows\system32\SysFxUI.dll
2014-01-04 19:14 . 2014-01-04 19:14 167936 ----a-w- c:\windows\system32\drivers\portcls.sys
2014-01-04 19:14 . 2014-01-04 19:14 130048 ----a-w- c:\windows\system32\drivers\drmk.sys
2014-01-04 19:14 . 2008-03-29 23:57 1304064 ----a-w- c:\windows\system32\WMALFXGFXDSP.dll
2014-01-04 19:14 . 2014-01-04 19:14 158208 ----a-w- c:\windows\system32\imagehlp.dll
2013-12-18 05:13 . 2009-10-08 09:45 231584 ------w- c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{03EB0E9C-7A91-4381-A220-9B52B641CDB1}"= "c:\program files\IObit Apps Toolbar\IE\8.6\iobitappsToolbarIE.dll" [2013-12-27 1398080]
.
[HKEY_CLASSES_ROOT\clsid\{03eb0e9c-7a91-4381-a220-9b52b641cdb1}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}]
2013-12-27 16:04 1398080 ----a-w- c:\program files\IObit Apps Toolbar\IE\8.6\iobitappsToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{9D974C8C-6D92-44FB-BEAF-B45A1C0CF17F}]
2014-02-25 09:32 464720 ----a-w- c:\program files\IObit\IObit Malware Fighter\adsremoval\IE\Adblock.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}]
2013-01-28 14:49 281760 ----a-w- c:\program files\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{03EB0E9C-7A91-4381-A220-9B52B641CDB1}"= "c:\program files\IObit Apps Toolbar\IE\8.6\iobitappsToolbarIE.dll" [2013-12-27 1398080]
.
[HKEY_CLASSES_ROOT\clsid\{03eb0e9c-7a91-4381-a220-9b52b641cdb1}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony PC Companion"="c:\program files\Sony\Sony PC Companion\PCCompanion.exe" [2013-10-31 449760]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-03-29 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-10-02 20472992]
"Advanced SystemCare 6"="c:\program files\IObit\Advanced SystemCare 6\ASCTray.exe" [2013-04-18 491840]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2013-05-08 41056]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"SearchSettings"="c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe" [2014-02-19 1387328]
"SunJavaUpdateSched"="c:\program files\common files\java\java update\jusched.exe" [2012-01-18 254696]
"IObit Malware Fighter"="c:\program files\IObit\IObit Malware Fighter\IMF.exe" [2013-12-13 1573184]
.
c:\users\Vostro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
fbnzj8z4lf.lnk - c:\windows\System32\rundll32.exe c:\progra~2\fl4z8jznbf.cpp,XXS1 [2006-11-2 44544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WDDMStatus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WDDMStatus.lnk
backup=c:\windows\pss\WDDMStatus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WDSmartWare.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WDSmartWare.lnk
backup=c:\windows\pss\WDSmartWare.lnk.CommonStartup
backupExtension=.CommonStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cm106Sound
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-04-04 21:06 958576 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2013-05-08 21:20 41056 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM02Mon.exe]
2007-05-09 23:01 36864 ----a-w- c:\windows\OEM02Mon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2009-09-24 13:41 434176 ----a-w- c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-05-10 18:01 202256 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe
.
S2 AdvancedSystemCareService6;Advanced SystemCare Service 6;c:\program files\IObit\Advanced SystemCare 6\ASCService.exe [2013-04-18 574272]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bthsvcs REG_MULTI_SZ BthServ
.
Inhalt des "geplante Tasks" Ordners
.
2014-02-27 c:\windows\Tasks\Driver Booster Update.job
- c:\program files\IObit\Driver Booster\AutoUpdate.exe [2013-10-15 13:16]
.
2014-02-27 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-10-25 20:06]
.
2014-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 10:57]
.
2014-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 10:57]
.
2014-02-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2719662579-187885903-3024253376-1000Core.job
- c:\users\Vostro\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-12 12:29]
.
2014-02-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2719662579-187885903-3024253376-1000UA.job
- c:\users\Vostro\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-12 12:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.google.de/
mStart Page = hxxp://search.chatzum.com/?orig=HP&affid=62&cztbid=1759291256
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
uSearchAssistant = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=d463741b-0c72-4b31-9395-18c434c815e6&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}&installDate=01/01/1970
IE: Free YouTube Download - c:\program files\Common Files\DVDVideoSoft\plugins\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\program files\Common Files\DVDVideoSoft\plugins\freeytmp3downloader.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
IE: {{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - c:\program files\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)
BHO-{E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\program files\kikin\ie_kikin.dll
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-kikin Plugin (NO23 Edition) - c:\program files\kikin\uninst.exe
AddRemove-Google Chrome - c:\users\Vostro\AppData\Local\Google\Chrome\Application\33.0.1750.117\Installer\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-02-27 11:22
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\users\Vostro\AppData\Roaming\Skype\matze6142\bistats.db-journal 37448 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\bistats.lock 0 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\keyval.lock 0 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\main.db-journal 74384 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\main.lock 0 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\mmanager\mediacache.ldb 40 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\msn.lock 0 bytes
c:\users\Vostro\AppData\Roaming\Skype\matze6142\thmanager\thumbcache.ldb 40 bytes
c:\users\Vostro\AppData\Roaming\Skype\shared_dynco\dc.db-journal 1289168 bytes
c:\users\Vostro\AppData\Roaming\Skype\shared_dynco\dc.lock 0 bytes
c:\users\Vostro\AppData\Roaming\Skype\shared_httpfe\queue.lock 0 bytes
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 11
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2719662579-187885903-3024253376-1000\Software\SecuROM\License information*]
"datasecu"=hex:0e,69,f2,9b,ff,dc,85,87,1a,1a,4e,ef,a1,99,2f,90,f5,0c,6f,d6,5e,
91,5c,24,d6,86,b8,aa,6e,2e,14,c6,16,03,5b,2d,c5,5a,4a,2b,ab,73,50,00,b4,11,\
"rkeysecu"=hex:6c,7a,01,05,1d,9a,45,94,a5,a3,84,03,0d,8a,b3,09
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\IObit\IObit Malware Fighter\IMFsrv.exe
c:\program files\Application Updater\ApplicationUpdater.exe
c:\program files\ICQ6Toolbar\ICQ Service.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\System32\WUDFHost.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\IObit\Advanced SystemCare 6\Monitor.exe
c:\windows\system32\conime.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-02-27 11:27:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2014-02-27 10:27
.
Vor Suchlauf: 13 Verzeichnis(se), 47.733.780.480 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 51.521.982.464 Bytes frei
.
- - End Of File - - 10E85EB3CD0E236244577DB35EE653FA
5C616939100B85E558DA92B899A0FC36
|
|
27.02.2014, 20:19
| #4 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Servus, Schritt 1 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 2 Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Schritt 3 Downloade Dir bitte  Malwarebytes Anti-Malware
Schritt 4 Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/
Bitte poste mit deiner nächsten Antwort
|
|
28.02.2014, 11:29
| #5 |
| | GVU Trojaner Windows Vista Hallo  So die Log-Datein sind fertig: Der Sperrbildschirm öffnet sich auch mittlerweile nicht mehr beim Hochfahren  die Logdatei von AdwCleaner: Code:
ATTFilter # AdwCleaner v3.020 - Bericht erstellt am 28/02/2014 um 09:53:13
# Aktualisiert 27/02/2014 von Xplode
# Betriebssystem : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
# Benutzername : Vostro - VOSTRO-PC
# Gestartet von : C:\Users\Vostro\Desktop\adwcleaner.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnpmlnedpdikbgdghljdepnljfpkhccn
Ordner Gelöscht : C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbpcjmidkkgldeplajgnbpjkfpmpeepb
***** [ Verknüpfungen ] *****
Verknüpfung Desinfiziert : C:\Users\Vostro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Search.lnk
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKCU\Software\Google\Chrome\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\hbcennhacfaagdopikcegfcobcadeocj
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\icdlfehblmklkikfigmjhbmmpmkmpooj
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\mhkaekfpcppmmioggniknbnbdbcigpkk
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\pfndaklgolladniicklehhancnlgocpp
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{61050C9C-226A-44D0-A194-994B9117DC63}
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61050C9C-226A-44D0-A194-994B9117DC63}
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9EB3800-6CF1-457B-BFA9-CC597CBDA887}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Main [ICQ Search]
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ICQ Service.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.bandobjectattribute
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.bho
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.dockingpanel
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.iesmartbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.iesmartbarbandobject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.smartbardisplaystate
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iesmartbar.smartbarmenuform
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Office\Word\Addins\HostOL.MailAnim
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5D723752-5899-47E8-99B4-62C824EF9E13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{56561B2A-FB5D-363A-9631-4C03D6054209}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A717364F-69F3-3A24-ADD5-3901A57F880E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CCB08265-B35D-30B2-A6AF-6986CA957358}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CD92622E-49B9-33B7-98D1-EC51049457D7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E041E037-FA4B-364A-B440-7A1051EA0301}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{03EB0E9C-7A91-4381-A220-9B52B641CDB1}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{03EB0E9C-7A91-4381-A220-9B52B641CDB1}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
Schlüssel Gelöscht : HKCU\Software\caphyon
Schlüssel Gelöscht : HKCU\Software\ChatZum Toolbar
Schlüssel Gelöscht : HKCU\Software\ICQ\ICQToolbar
Schlüssel Gelöscht : HKCU\Software\Iminent
Schlüssel Gelöscht : HKCU\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\smartbarbackup
Schlüssel Gelöscht : HKCU\Software\smartbarlog
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\AppDataLow\AskBarDis
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Hotbar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ShoppingReport
Schlüssel Gelöscht : HKLM\Software\Application Updater
Schlüssel Gelöscht : HKLM\Software\ChatZum Toolbar
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\ICQ\ICQToolbar
Schlüssel Gelöscht : HKLM\Software\Iminent
Schlüssel Gelöscht : HKLM\Software\Search Settings
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ICQToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hotbarsa
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ICQToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00E944CB89111313EAF35A0553F547F9
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\30C16B15B255BD349A1157B8A83E2AF9
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\53F55AF3F4049ED3FA6EA6F88E414E24
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E4BF4B11615E03C97732FD581AB607
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CE3DDAB2D152683FBCEB4866BCD2B0F
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF6CE16AFEA5C9A39B766468A8B35C21
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED1CAE30F47D14B41B5FC8FA53658044
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FB1E44269B58F433A8C8E671E37CFDCF
***** [ Browser ] *****
-\\ Internet Explorer v9.0.8112.16526
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [ICQ Search]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search [Default_Search_URL]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search [SearchAssistant]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]
-\\ Google Chrome v
[ Datei : C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\preferences ]
Gelöscht : homepage
Gelöscht : urls_to_restore_on_startup
*************************
AdwCleaner[R0].txt - [12862 octets] - [28/02/2014 09:49:48]
AdwCleaner[R1].txt - [11559 octets] - [28/02/2014 09:51:37]
AdwCleaner[S0].txt - [1847 octets] - [28/02/2014 09:51:10]
AdwCleaner[S1].txt - [10538 octets] - [28/02/2014 09:53:13]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [10599 octets] ##########
die Logdatei von JRT: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.2 (02.20.2014:1)
OS: Windows Vista (TM) Ultimate x86
Ran by Vostro on 28.02.2014 at 10:02:37,34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 28.02.2014 at 10:04:59,95
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
die Logdatei von MBAM: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.02.28.05 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Vostro :: VOSTRO-PC [Administrator] 28.02.2014 10:12:50 mbam-log-2014-02-28 (10-12-50).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 243087 Laufzeit: 6 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Vostro\Documents\vlcsetup.exe (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\1aaf66b.msi (PUP.Optional.SmartBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) die Logdatei von Zoek: Code:
ATTFilter Zoek.exe v5.0.0.0 Updated 19-February-2014
Tool run by Vostro on 28.02.2014 at 10:29:19,99.
Microsoft® Windows Vista™ Ultimate 6.0.6002 Service Pack 2 x86
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\Vostro\Desktop\zoek.exe [Scan all users] [Script inserted]
==== System Restore Info ======================
28.02.2014 10:44:31 Zoek.exe System Restore Point Created Succesfully.
==== Creating Sample__1051.zip ======================
Copied file C:\Users\Vostro\AppData\Local\No23 Recorder.exe to sample\No23 Recorder.exe
sample\No23 Recorder.exe renamed to 66C2D240E8422AA395A5286CE7AE17A4
C:\Users\Public\Desktop\sample__1051.zip created successfully
==== Deleting CLSID Registry Keys ======================
==== Deleting CLSID Registry Values ======================
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Approved Extensions\{31ad400d-1b06-4e33-a59a-90c2c140cba0} deleted successfully
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Approved Extensions\{ae07101b-46d4-4a98-af68-0333ea26e113} deleted successfully
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Approved Extensions\{03EB0E9C-7A91-4381-A220-9B52B641CDB1} deleted successfully
HKEY_USERS\S-1-5-21-2719662579-187885903-3024253376-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{03EB0E9C-7A91-4381-A220-9B52B641CDB1} deleted successfully
HKEY_USERS\S-1-5-21-2719662579-187885903-3024253376-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F} deleted successfully
==== Deleting Services ======================
==== Deleting Files \ Folders ======================
C:\PROGRA~2\{CED89F1A-945F-46EC-B23C-5EAF6D2DB12A} deleted
C:\Program Files\IObit Toolbar deleted
C:\Program Files\Common Files\DVDVideoSoft\bin deleted
C:\Users\Vostro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Search.lnk deleted
C:\Windows\system32\config\systemprofile\AppData\Roaming\kikin deleted
C:\PROGRA~2\fbnzj8z4lf.fee deleted
C:\PROGRA~2\ICQ deleted
C:\Users\Vostro\AppData\Local\bass.dll deleted
C:\Users\Vostro\AppData\Local\basscd.dll deleted
C:\Users\Vostro\AppData\Local\CDRip.dll deleted
C:\Users\Vostro\AppData\LocalLow\IObit Apps deleted
C:\Users\Vostro\AppData\LocalLow\ADSRemoval deleted
C:\Windows\system32\config\systemprofile\AppData\LocalLow\IObit Apps deleted
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Application Updater deleted
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Smartbar deleted
C:\Windows\System32\InstallUtil.InstallLog deleted
C:\Users\Vostro\AppData\Local\No23 Recorder.exe deleted
"C:\Windows\Installer\5e27e.msi" deleted
"C:\ProgramData\{701ACAF9-F102-47c2-8907-36246F4DFB51}" deleted
"C:\found.000" deleted
==== Firefox Extensions Registry ======================
[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{ABDE892B-13A8-4d1b-88E6-365A6E755758}"="C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext" [10.05.2010 19:01]
==== Chrome Look ======================
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
jfmjfhklogoienhpfnppmbcbjfjnkonk - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx[10.05.2010 19:01]
nfengeggddojhakldhlpjdlddgkkjkdd - C:\Program Files\IObit\Advanced SystemCare 6\BrowerProtect\ASC_GhromePlugin.crx[22.04.2013 18:01]
HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\Extensions
nikpibnbobmbdbheedjfogjlikpgpnhp - C:\Program Files\Common Files\DVDVideoSoft\plugins\DVDVideoSoftBrowserExtension.crx[28.01.2013 12:01]
Angry Birds - Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj
RealPlayer HTML5Video Downloader Extension - Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk
Advanced SystemCare Surfing Protection - Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\nfengeggddojhakldhlpjdlddgkkjkdd
==== Chrome Fix ======================
C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx deleted successfully
C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk deleted successfully
==== Set IE to Default ======================
Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.de/"
"ICQ Search"="hxxp://www.google.com"
"Use Search Asst"="yes"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://www.google.com"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl]
"Default"="hxxp://www.google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
"Default"="hxxp://www.google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"Default_Search_URL"="hxxp://www.google.com"
"SearchAssistant"="hxxp://www.google.com"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
No DefaultScope Set For HKCU
New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"ICQ Search"="hxxp://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="https://www.google.de/"
"Use Search Asst"="no"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"="hxxp://search.msn.com/results.asp?q=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"="hxxp://search.msn.com/results.asp?q=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"Default_Search_URL"="hxxp://go.microsoft.com/fwlink/?LinkId=54896"
"SearchAssistant"="hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
==== All HKCU SearchScopes ======================
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing Url="hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
{6A1806CD-94D4-4689-BA73-E35EA1EA9990} Google Url="hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}"
==== Reset Google Chrome ======================
C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\preferences was reset successfully
C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Web Data was reset successfully
==== Deleting Registry Keys ======================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A07A2460258F9394288272DEE4B38029 deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk deleted successfully
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\VMidi deleted successfully
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0642A70A-F852-4939-8228-27ED4E3B0892} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\A07A2460258F9394288272DEE4B38029 deleted successfully
==== Empty IE Cache ======================
C:\Users\Vostro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5 emptied successfully
C:\Users\Vostro\AppData\Local\temp\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\serviceprofiles\networkservice\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\serviceprofiles\Localservice\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\serviceprofiles\Localservice\AppData\Local\Temp\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\Vostro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat will be deleted at reboot
==== Empty FireFox Cache ======================
No FireFox Profiles found
==== Empty Chrome Cache ======================
C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Cache emptied successfully
==== Empty All Flash Cache ======================
Flash Cache Emptied Successfully
==== Empty All Java Cache ======================
Java Cache cleared successfully
==== C:\zoek_backup content ======================
C:\zoek_backup (files=185 folders=55 129402302 bytes)
==== Empty Temp Folders ======================
C:\Users\Default\AppData\Local\temp emptied successfully
C:\Users\Default User\AppData\Local\temp emptied successfully
C:\Users\Public\AppData\Local\temp emptied successfully
C:\Users\UpdatusUser\AppData\Local\temp emptied successfully
C:\Users\Vostro\AppData\Local\temp will be emptied at reboot
C:\Windows\system32\config\systemprofile\AppData\Local\Temp emptied successfully
C:\Windows\serviceprofiles\networkservice\AppData\Local\Temp emptied successfully
C:\Windows\serviceprofiles\Localservice\AppData\Local\Temp emptied successfully
C:\Windows\Temp will be emptied at reboot
==== After Reboot ======================
==== Empty Temp Folders ======================
C:\Windows\Temp successfully emptied
C:\Users\Vostro\AppData\Local\Temp successfully emptied
==== Empty Recycle Bin ======================
C:\$RECYCLE.BIN successfully emptied
==== Deleting Files / Folders ======================
"C:\Users\Vostro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat" not deleted
==== EOF on 28.02.2014 at 11:13:28,29 ======================
|
|
28.02.2014, 20:46
| #6 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Servus, Wir spüren die letzten Reste auf, damit wir sie später entfernen können: Kontrollscan mit FRST Führe wie zuvor beschrieben einen Scan mit FRST aus. Setze dazu eine Haken bei Addition.txt rechts unten und klicke auf Scan. Es werden wieder zwei Logdateien erzeugt. Poste mir diese. Gibt es noch Probleme mit Malware? Wenn ja, welche? Wie läuft der Rechner derzeit? Bitte poste mit deiner nächsten Antwort
|
|
01.03.2014, 16:41
| #7 |
| | GVU Trojaner Windows Vista Servus  Hier wieder die Log-Files: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-02-2014 02
Ran by Vostro at 2014-03-01 12:42:16 Run:1
Running from C:\Users\Vostro\Desktop
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
start
Startup: C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fbnzj8z4lf.lnk
ShortcutTarget: fbnzj8z4lf.lnk -> C:\PROGRA~2\fl4z8jznbf.cpp (No File)
URLSearchHook: HKLM - Default Value = {855F3B16-6D32-4fe6-8A56-BBB695989046}
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope A49B488BBC9A4445A9EA3354AC9ECF07 URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=d463741b-0c72-4b31-9395-18c434c815e6&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}&installDate=01/01/1970
SearchScopes: HKCU - A49B488BBC9A4445A9EA3354AC9ECF07 URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=d463741b-0c72-4b31-9395-18c434c815e6&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}&installDate=01/01/1970
end
*****************
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fbnzj8z4lf.lnk => Moved successfully.
C:\PROGRA~2\fl4z8jznbf.cpp not found.
HKLM\Software\Microsoft\Internet Explorer\URLSearchHooks\\ => Value deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value deleted successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\A49B488BBC9A4445A9EA3354AC9ECF07 => Key deleted successfully.
HKCR\Wow6432Node\CLSID\A49B488BBC9A4445A9EA3354AC9ECF07 => Key not found.
==== End of Fixlog ====
Code:
ATTFilter HitmanPro 3.7.9.212
www.hitmanpro.com
Computer name . . . . : VOSTRO-PC
Windows . . . . . . . : 6.0.2.6002.X86/2
User name . . . . . . : Vostro-PC\Vostro
UAC . . . . . . . . . : Enabled
License . . . . . . . : Trial (30 days left)
Scan date . . . . . . : 2014-03-01 12:46:32
Scan mode . . . . . . : Normal
Scan duration . . . . : 4m 17s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 11
Objects scanned . . . : 3.026.114
Files scanned . . . . : 193.701
Remnants scanned . . : 1.161.911 files / 1.670.502 keys
Suspicious files ____________________________________________________________
C:\Windows\system32\DBCLIENT.DLL -> Deleted
Size . . . . . . . : 211.056 bytes
Age . . . . . . . : 1557.7 days (2009-11-24 19:20:54)
Entropy . . . . . : 6.4
SHA-256 . . . . . : 86744D1E4CD885DC1ABBFB5F438E81C8553B5D072741C151F76BFC551819469D
Publisher . . . . : Inprise Corporation
Description . . . : Borland Database Engine
Version . . . . . : 5.0.1.32
Copyright . . . . : Copyright Inprise Corp. 1991-1998
RSA Key Size . . . : 512
Authenticode . . . : Self-signed
Fuzzy . . . . . . : 26.0
Program is code signed with a weak certificate. This is common to malware.
Program is code self-signed.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
Potential Unwanted Programs _________________________________________________
HKLM\SOFTWARE\Classes\Record\{2009AF2F-5786-3067-8799-B97F7832FDD6}\ (FLV Player) -> Deleted
HKLM\SOFTWARE\Classes\Record\{425E7597-03A2-338D-B72A-0E51FFE77A7E}\ (FLV Player) -> Deleted
HKLM\SOFTWARE\Classes\Record\{915BB7D5-082E-3B91-B1E0-45B5FDE01F24}\ (FLV Player) -> Deleted
HKLM\SOFTWARE\Classes\Record\{FB2E65F4-5687-33EF-9BBF-4E3C9C98D3B9}\ (FLV Player) -> Deleted
Cookies _____________________________________________________________________
C:\Users\Vostro\AppData\Local\Google\Chrome\User Data\Default\Cookies:adtech.de
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Cookies\0M4XZULW.txt
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Cookies\3JKID0RV.txt
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Cookies\AKR8N7G0.txt
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Cookies\QURF4I1J.txt
C:\Users\Vostro\AppData\Roaming\Microsoft\Windows\Cookies\VC45PO4F.txt
Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=135d6409df35a54ca1915865532b9b62
# engine=17280
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-03-01 02:51:35
# local_time=2014-03-01 03:51:35 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 244345 231218350 0 0
# scanned=371982
# found=6
# cleaned=0
# scan_time=10282
sh=60D85E68874D0B0BB21096256DFFB695DEA8951C ft=1 fh=4b85ccf86c8039c9 vn="a variant of Win32/Kryptik.BVQM trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\fl4z8jznbf.cpp.vir"
sh=6CABD0122040EAAC7097E4F062B551C502E6BC9E ft=0 fh=0000000000000000 vn="LNK/URL.B trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk.vir"
sh=8E9A7D55BB8AAEE844C517B1F2A9F498DF809BD2 ft=0 fh=0000000000000000 vn="LNK/URL.B trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk.vir"
sh=6F0ADB8E9FAD2D97FB34E0E74C6846E7982C853E ft=0 fh=0000000000000000 vn="LNK/URL.B trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Games!.lnk.vir"
sh=FA0A3D67AA2903061CAA0652CD65B7A833EA685F ft=0 fh=0000000000000000 vn="LNK/URL.B trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Videos!.lnk.vir"
sh=615CAF4A044F3F495D51ED53B1E22A02F7E78E69 ft=1 fh=2d41e62adc380029 vn="a variant of Win32/TrojanProxy.Agent.NUV trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Vostro\AppData\Local\vnajdrq.dll.vir"
Code:
ATTFilter Results of screen317's Security Check version 0.99.79 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.75.0.1300 Java(TM) 6 Update 31 Java 2 Runtime Environment, SE v1.4.0 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Google Chrome 32.0.1700.107 Google Chrome 33.0.1750.117 ````````Process Check: objlist.exe by Laurent```````` IObit IObit Malware Fighter IMFsrv.exe IObit IObit Malware Fighter IMF.exe IObit IObit Malware Fighter adsremoval IE\Adblock.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
|
02.03.2014, 11:22
| #8 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Servus, die Funde von ESET sind keine Gefahr, da sie auf die Quarantäne von ComboFix deuten. Mit den letzten Schritten werden auch diese Funde entfernt.  Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber.  Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Schritt 1 Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2 Deinstalliere bitte deine aktuelle Version von Adobe Reader Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader und lade dir die neue Version von Hier herunter- Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome. Schritt 3 Die Reihenfolge ist hier entscheidend.
Schritt 4 Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems. Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti-Viren-Programm und zusätzlicher Schutz
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden. Mozilla Firefox
Performance
Was du vermeiden solltest:
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
|
03.03.2014, 10:33
| #9 |
| | GVU Trojaner Windows Vista Schönen Guten Tag, habe alles wie beschrieben ausgeführt, und der Rechner läuft wieder super. Danke für die sehr kompetente Unterstützung. Dieses Forum hier ist sehr empfehlenswert. Grüße Matze |
|
03.03.2014, 10:41
| #10 |
| /// TB-Ausbilder | GVU Trojaner Windows Vista Ich bin froh, dass wir helfen konnten  In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest: Lob, Kritik und Wünsche Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
|
| Themen zu GVU Trojaner Windows Vista |
| adware.hotbar, anhang, bereits, dateien, erscheint, folgendes, gefunde, guv trojaner, kaspersky, lnk/url.b, pup.optional.smartbar, rechner, recovery, scan, schonmal, taste, tool, trick, trojaner, viren, win32/kryptik.bvqm, win32/trojanproxy.agent.nuv, windows, windows vista |
WARNUNG an die MITLESER: 
Hybrid-Darstellung
