|
Log-Analyse und Auswertung: GVU TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.05.2015, 11:05 | #1 |
| GVU Trojaner Hallo Leute Habe mir auf meinem Laptop grade den GVU Trojaner eingefangen...nichts geht mehr...brauche dringend Hilfe...bin Laie was das angeht.....Danke |
01.05.2015, 11:28 | #2 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU TrojanerMein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...
Hinweis: Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean bekommst. Los geht's: Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) Lesestoff Posten in CODE-Tags: So gehts... Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
01.05.2015, 12:34 | #3 |
| GVU Trojaner Hallo Jürgen....Danke für die schnelle Antwort....frst scant grade
__________________code ist zu lang sagt mir das Forum.....es sind 96 Seiten...... |
01.05.2015, 13:06 | #4 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
01.05.2015, 13:12 | #5 |
| GVU Trojaner <a href=hxxp://www.filedropper.com/scanresultoffarbarrecovery><img src=hxxp://www.filedropper.com/download_button.png width=127 height=145 border=0/></a><br /><div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> <a href=hxxp://www.filedropper.com >file storage</a></div> |
01.05.2015, 13:22 | #6 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner URL Link posten bitte
__________________ --> GVU Trojaner |
01.05.2015, 13:37 | #7 |
| GVU Trojaner hxxp://www.filedropper.com/scanresultoffarbarrecovery_1 |
01.05.2015, 13:41 | #8 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner das ist ein doc. Bitte das Log als .txt hochladen und link posten
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
01.05.2015, 13:56 | #9 |
| GVU Trojaner hxxp://www.filedropper.com/scanresultoffarbarrecovery_2 nu aber....lach |
01.05.2015, 14:10 | #10 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner Wir machen jetzt erstmal einen Fix in den Reparatur-Oprionen, so dass wir dann im Normalmodus mit der Bereinigung fortfahren können. Schritt 1 (Mit Hilfe eines anderen PCs) Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code:
ATTFilter HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01] Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01] C:\Users\Marion\AppData\Roaming\loadit.exe 2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt 2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe
Kannst Du den Rechner wieder im Normalmodus starten? Falls ja, dann gleich weiter mit Schritt 2. Schritt 2 Verschiebe FRST vom USB-Stick auf den Desktop.
Bitte poste Fixlog.txt, FRST.txt und Addition.txt in Deiner nächsten Antwort.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
01.05.2015, 14:50 | #11 |
| GVU TrojanerCode:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01 Ran by SYSTEM at 2015-05-01 15:44:10 Run:1 Running from F:\ Boot Mode: Recovery ============================================== Content of fixlist: ***************** HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01] Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01] C:\Users\Marion\AppData\Roaming\loadit.exe 2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt 2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe ***************** HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully. HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully. C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully. C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully. C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully. C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully. C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully. ==== End of Fixlog 15:44:11 ==== Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01 Ran by SYSTEM at 2015-05-01 15:44:10 Run:1 Running from F:\ Boot Mode: Recovery ============================================== Content of fixlist: ***************** HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01] Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01] C:\Users\Marion\AppData\Roaming\loadit.exe 2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt 2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe ***************** HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully. HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully. C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully. C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully. C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully. C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully. C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully. ==== End of Fixlog 15:44:11 ==== |
01.05.2015, 14:52 | #12 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner Das ist zweimal das gleiche Log.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
01.05.2015, 16:33 | #13 |
| GVU Trojaner sorry....hab nict gesehen das wir schon auf seite 2 sind Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 29-04-2015 01 Ran by Marion at 2015-05-01 15:59:59 Running from C:\Users\Marion\Desktop Boot Mode: Normal ========================================================== ==================== Accounts: ============================= Administrator (S-1-5-21-1588844970-614624912-4270772625-500 - Administrator - Disabled) Gast (S-1-5-21-1588844970-614624912-4270772625-501 - Limited - Disabled) Marion (S-1-5-21-1588844970-614624912-4270772625-1001 - Administrator - Enabled) => C:\Users\Marion ==================== Security Center ======================== (If an entry is included in the fixlist, it will be removed.) AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Installed Programs ====================== (Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.) Das Haus am See - Kinder der Stille SA 1.00 (HKLM-x32\...\Das Haus am See - Kinder der Stille SA 1.00) (Version: 1.00 - Alawar) Die Seelenfalle - Die Daemonen in dir 1.00 (HKLM-x32\...\Die Seelenfalle - Die Daemonen in dir 1.00) (Version: 1.00 - Deutschland spielt) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 42.0.2311.135 - Google Inc.) Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden Google Update Helper (x32 Version: 1.3.26.9 - Google Inc.) Hidden IncrediMail (x32 Version: 6.6.0.5288 - IncrediMail) Hidden IncrediMail 2.5 (HKLM-x32\...\IncrediMail) (Version: 6.6.0.5288 - IncrediMail Ltd.) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation) MySQL Servers and Clients 3.23.52 (HKLM-x32\...\MySQL Servers and Clients 3.23.52) (Version: - ) OpenOffice 4.1.1 (HKLM-x32\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation) Photo Notifier and Animation Creator (HKLM-x32\...\Photo Notifier and Animation Creator) (Version: 1.0.0.1009 - IncrediMail Ltd.) Q-Dir (HKLM-x32\...\Q-Dir) (Version: - ) SAM2 (remove only) (HKLM-x32\...\SAM2) (Version: - ) Scarytales - Lang lebe Koenig Zulfo 1.00 (HKLM-x32\...\Scarytales - Lang lebe Koenig Zulfo 1.00) (Version: 1.00 - BigFish) Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 7.3.16540.9015 - Microsoft Corporation) Skype™ 7.3 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 7.3.101 - Skype Technologies S.A.) TeamViewer 10 (HKLM-x32\...\TeamViewer) (Version: 10.0.36897 - TeamViewer) Unity Web Player (x64) (All users) (HKLM\...\UnityWebPlayer) (Version: 4.6.3f1 - Unity Technologies ApS) UseNeXT by Tangysoft (HKLM-x32\...\UseNeXT by Tangysoft_is1) (Version: - Tangysoft Ltd.) VLC media player (HKLM\...\VLC media player) (Version: 2.2.0 - VideoLAN) Weird Park - Unheimliche Märchen 1.0.0.0 (HKLM-x32\...\Weird Park - Unheimliche Märchen 1.0.0.0) (Version: 1.0.0.0 - Shadow - Time to play) Winamp (HKLM-x32\...\Winamp) (Version: 5.666 - Nullsoft, Inc) Winamp Erkennungs-Plug-in (HKU\S-1-5-21-1588844970-614624912-4270772625-1001\...\Winamp Detect) (Version: 1.0.0.1 - Nullsoft, Inc) WinRAR 5.21 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.21.0 - win.rar GmbH) ==================== Custom CLSID (selected items): ========================== (If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.) CustomCLSID: HKU\S-1-5-21-1588844970-614624912-4270772625-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel Corporation) ==================== Restore Points ========================= 30-04-2015 17:08:52 Geplanter Prüfpunkt ==================== Hosts content: ========================== (If needed Hosts: directive could be included in the fixlist to reset Hosts.) 2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts ==================== Scheduled Tasks (whitelisted) ============= (If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.) Task: {16919BE6-25F6-4366-A8B2-C2D39B069477} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-24] (Microsoft Corporation) Task: {72EE9B38-E0F2-4170-A169-5E79288E5B47} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation) Task: {86E31E5F-EF19-4EE3-99C0-E2D8E1CD0399} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation) Task: {8DC6D1E7-2914-42FF-8A99-9365DBAEFFCB} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation) Task: {B3C0DD43-D4D4-4CAB-A9A0-E6B8A27CE999} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.) Task: {D5CED0FB-2B3D-4C6C-9E56-F3EE774C5F07} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.) Task: {D93FBB9E-D3EE-4E7C-B263-1E1AE08997EE} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-04-15] (Microsoft Corporation) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe ==================== Loaded Modules (whitelisted) ============== 2015-01-20 12:48 - 2002-08-14 04:33 - 01130496 _____ () C:\mysql\bin\mysqld-nt.exe 2015-01-21 21:19 - 2015-01-21 21:19 - 00183296 _____ () C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.5.9600.20689_x64__8wekyb3d8bbwe\ErrorReporting.dll ==================== Alternate Data Streams (whitelisted) ========= (If an entry is included in the fixlist, only the Alternate Data Streams will be removed.) AlternateDataStreams: C:\Users\Marion\SkyDrive:ms-properties AlternateDataStreams: C:\Users\Marion\SkyDrive.old:ms-properties ==================== Safe Mode (whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.) ==================== EXE Association (whitelisted) =============== (If an entry is included in the fixlist, the default will be restored. None default entries will be removed.) ==================== Internet Explorer trusted/restricted =============== (If an entry is included in the fixlist, the associated entry will be removed from the registry.) ==================== Other Areas ============================ (Currently there is no automatic fix for this section.) HKU\S-1-5-21-1588844970-614624912-4270772625-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Marion\AppData\Local\Microsoft\Windows\Themes\RoamedThemeFiles\DesktopBackground\hintergrundbild der windows-fotoanzeige.jpg DNS Servers: 192.168.178.1 ==================== MSCONFIG/TASK MANAGER disabled items == (Currently there is no automatic fix for this section.) ==================== FirewallRules (whitelisted) =============== (If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.) FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139 FirewallRules: [TCP Query User{F22345AF-FA54-418E-BB3E-33918DCCE2B7}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe FirewallRules: [UDP Query User{B2076DCB-D237-478D-AE39-21F84F781967}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe FirewallRules: [TCP Query User{1F6416AB-A04F-498B-9CA6-D3D0DF1B2DAF}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe FirewallRules: [UDP Query User{B98D8316-B59B-41C8-A96A-28DEC699CC35}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe FirewallRules: [{0ABA6F35-8308-4140-B161-4E979F7BF87A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe FirewallRules: [{C187542A-4C9B-42B3-BA8F-71E893EDB3D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe FirewallRules: [{CFE1B3F8-D2C8-4281-8E8A-2193C21E943A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe FirewallRules: [{5CF7E453-00EE-4017-9971-26E716172F8D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe FirewallRules: [{382A9985-C639-403E-9912-17671015928A}] => (Allow) E:\Winamp\winamp.exe FirewallRules: [{4A149E8B-2706-4A1F-A106-FFEA5387CAE1}] => (Allow) E:\Winamp\winamp.exe FirewallRules: [{880944A8-8ABA-4FC1-8BC8-72E847CF07E3}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe FirewallRules: [{17CB2E52-CE1F-4563-86CA-98BDCE04BB56}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe FirewallRules: [{1F8B1178-FDF7-4DA2-9DBF-0D912F15CCCF}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe FirewallRules: [{F92E21B6-44B4-4861-927A-6387D7A6E74A}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe FirewallRules: [{0D065FBF-72CA-44CF-836C-42EA54498993}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe FirewallRules: [{9DF9E4A2-E3CB-4B1C-8253-F7F290910E04}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe FirewallRules: [TCP Query User{6F1A7250-7E47-4640-AA6C-623C551FB490}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe FirewallRules: [UDP Query User{42DD16B2-715A-4BC7-B170-63BBD4B8233F}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe FirewallRules: [{95B591E7-D5AD-4E29-9F9F-97363BC47EF1}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe ==================== Faulty Device Manager Devices ============= Name: PCI-Gerät Description: PCI-Gerät Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Event log errors: ========================= Application errors: ================== Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT) Description: Der Ereignisfilter mit der Abfrage "select * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'" konnte im Namespace "//./root" aufgrund des Fehlers "0x80041033" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __ClassOperationEvent" zu registrieren, deren Zielklasse "__ClassOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert. Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert. System errors: ============= Error: (05/01/2015 03:47:38 PM) (Source: BTHUSB) (EventID: 30) (User: ) Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert. Error: (05/01/2015 03:39:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1115 Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Der Dienst "Autom. Setup von Geräten, die mit dem Netzwerk verbunden sind" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Der Dienst "NcdAutoSetup" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%50 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1069 Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Der Dienst "FDResPub" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%50 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Der Dienst "Funktionssuchanbieter-Host" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Der Dienst "fdPHost" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%50 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (05/01/2015 03:38:28 PM) (Source: BTHUSB) (EventID: 30) (User: ) Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert. Microsoft Office Sessions: ========================= Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT) Description: //./rootselect * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'0x80041033 Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __TimerEvent__TimerEvent//./root/CIMV2 Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __SystemEvent__SystemEvent//./root/CIMV2 Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root/CIMV2 Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __ClassOperationEvent__ClassOperationEvent//./root/CIMV2 Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __TimerEvent__TimerEvent//./root Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __TimerEvent__TimerEvent//./root/subscription Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __SystemEvent__SystemEvent//./root Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __SystemEvent__SystemEvent//./root/subscription Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT) Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root ==================== Memory info =========================== Processor: Intel(R) Celeron(R) CPU 1037U @ 1.80GHz Percentage of memory in use: 28% Total physical RAM: 3795.47 MB Available physical RAM: 2728.15 MB Total Pagefile: 4435.47 MB Available Pagefile: 3396.17 MB Total Virtual: 131072 MB Available Virtual: 131071.81 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:50.54 GB) (Free:23.1 GB) NTFS Drive d: (Daten) (Fixed) (Total:429.69 GB) (Free:395.43 GB) NTFS Drive e: (Musik) (Fixed) (Total:432.62 GB) (Free:390.24 GB) NTFS Drive i: (STICK RALF) (Removable) (Total:14.93 GB) (Free:14.51 GB) FAT32 ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 931.5 GB) (Disk ID: ADB518C3) Partition: GPT Partition Type. ======================================================== Disk: 1 (MBR Code: Windows XP) (Size: 14.9 GB) (Disk ID: 35BE4C3C) Partition 1: (Not Active) - (Size=14.9 GB) - (Type=0C) ==================== End Of Log ============================ hxxp://www.filedropper.com/frst hast du jetzt alle logs die du brauchst??? bin jetzt kurz afk wegen abendbrot.... |
01.05.2015, 16:47 | #14 |
/// TB-Ausbilder /// Anleitungs-Guru | GVU Trojaner Ja, passt. FRST das nächste mal auf mehrere Postings aufteilen. Schritt 1
Schritt 2 ESET Online Scanner
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
01.05.2015, 18:08 | #15 |
| GVU TrojanerCode:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 01.05.2015 Suchlauf-Zeit: 18:40:47 Logdatei: log1.txt Administrator: Ja Version: 2.01.6.1022 Malware Datenbank: v2015.05.01.05 Rootkit Datenbank: v2015.04.21.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 8.1 CPU: x64 Dateisystem: NTFS Benutzer: Marion Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 329169 Verstrichene Zeit: 19 Min, 50 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Aktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (Keine schädliche Elemente gefunden) Module: 0 (Keine schädliche Elemente gefunden) Registrierungsschlüssel: 0 (Keine schädliche Elemente gefunden) Registrierungswerte: 0 (Keine schädliche Elemente gefunden) Registrierungsdaten: 0 (Keine schädliche Elemente gefunden) Ordner: 0 (Keine schädliche Elemente gefunden) Dateien: 1 Trojan.MSIL.Injector, C:\$Recycle.Bin\S-1-5-21-1588844970-614624912-4270772625-1001\$RG9XT50.rar, In Quarantäne, [ec8dddb1ec9eaf877794d81e3ec77888], Physische Sektoren: 0 (Keine schädliche Elemente gefunden) (end) |
Themen zu GVU Trojaner |
dringend, gvu trojaner, laptop, troja, trojan.msil.injector, trojane, trojaner |