Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gema Virus? (https://www.trojaner-board.de/107800-gema-virus.html)

Per.schutz 08.01.2012 23:27
Gema Virus?
 
Liste der Anhänge anzeigen (Anzahl: 1)
Es besteht keine Internetverbindung,bitte warten.

Guten Abend alle miteinander.Ich habe mir vor einigen Wochen ein Virus eingefangen.Beim Starten des Rechners erscheint eine weiße Bildfläche(siehe bild) wo drauf steht: Es besteht keine Internetverbindung,bitte warten .Wenn ich im abgesicherten Modus starte, kann ich nicht ins Internet rein.Ich habe windows 7 als betriebssystem.Mir ist aufgefallen das der Gema Virus etwas anders aussieht als meiner.

Eure Exzellenz,Herr Trojaner Killer wollen mir gestatten, meinen ergebensten Dank auszusprechen liebe Community.

:dankeschoen:

markusg 09.01.2012 13:26
hi,
versuch erst mal folgendes, pc neustarten, f8 ein paar mal drücken, abgesicherter modus mit netzwerk wählen.
falls du dort ins internet kommst:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Per.schutz 11.01.2012 01:29
[QUOTE]Guten abend.Also ich habe als erstes Malwarebytes Anti-Malware runtergeladen.Auf Stick kopiert.Rechner im abgesicherten Modus gestartet,Malwarebytes auf Desktop kopiert aber konnte ihn nicht von dort Starten bzw. Installieren.Deswegen Malwarebytes nochmal bei C:programme kopiert und konnte ihn installieren.Der hatt 21 Viren entdeckt.(siehe bild) Alles löschen lassen ,bericht kopiert und neustart.Und siehe da: Mein Rechner startet normal wieder hoch.Jedoch habe ein leeres Desktop.Die Programme sind nicht auf mein Desktop zusehen.Ich kann wieder ins Internet.Habe Malwarebytes Anti-Malware updaten lassen und machte ein zweit scan.11 Viren nach update sozusagen(siehe bild2)

Beim dritten scan war wieder ein Virus(siehe bild3)

Zu OTL von Oldtimer wollte ich nochmal fragen worauf ich achten muss. Will ja nicht irgendwelche Informationen von meinen Rechner veröffentlichen.wie zb. spiele seriennummern oder Windows Key oder so.Bin ein Anfänger deswegen muss ich davor gewarnt werden. ;)

danke im Vorraus!

Zitat:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2011.12.24.05

Windows 7 Service Pack 1 x64 FAT (Abgesichertenmodus)
Internet Explorer
[Administrator]

Schutz: Deaktiviert

10.01.2012 23:11:19
mbam-log-2012-01-10 (23-35-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 332593
Laufzeit: 20 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 5
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Trojan.Agent) -> Daten: C:\Windows\aadrive32.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Trojan.Agent) -> Daten: C:\Windows\aadrive32.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|leEudujSyN6NOqL (Trojan.Ransom.BP) -> Daten: C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Daten: C:\RECYCLER\S-2-2-54-0764631-888648379-4812508-1586\syitm.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NvCplDaemonTool (Trojan.Agent.WIMP) -> Daten: rundll32.exe C:\Windows\system32\IMLOAD~1.DLL,_IWMPEvents -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Trojan.Ransom.BP) -> Bösartig: (C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe) Gut: () -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Bösartig: (C:\RECYCLER\S-2-2-54-0764631-888648379-4812508-1586\syitm.exe) Gut: () -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Bösartig: (C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe) Gut: (Explorer.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\RECYCLER\S-2-2-54-0764631-888648379-4812508-1586 (Worm.AutoRun) -> Keine Aktion durchgeführt.

Infizierte Dateien: 20
C:\Windows\aadrive32.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe (Trojan.Ransom.BP) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-2-2-54-0764631-888648379-4812508-1586\syitm.exe (Worm.Autorun.B) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Local\Temp\0.05052.exe (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Local\Temp\0.35.exe (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Local\Temp\0.8.exe (Trojan.Ransom.BP) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\ (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\ (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\ (Trojan.Ransom.BP) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\ (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\7048.tmp (Trojan.Downloader.H) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\5676.tmp (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\364t5.tmp (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\Hlrmrt.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\Leulx\usis.exe (Trojan.Zbot.CBCGen) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\zrti\zrt.exe (Trojan.Ransom.BP) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanydiskt33.dll (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Windows\System32\imloadvD7.dll (Trojan.Agent.WIMP) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-2-2-54-0764631-888648379-4812508-1586\Desktop.ini (Worm.AutoRun) -> Keine Aktion durchgeführt.

(Ende)
zweitscan

Zitat:
Malwarebytes Anti-Malware (Trial) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.01.10.06

Windows 7 Service Pack 1 x64 FAT
Internet Explorer
admin[administrator]

Protection: Enabled

10.01.2012 23:43:33
mbam-log-2012-01-11 (00-12-36).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 336540
Time elapsed: 21 minute(s), 57 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 5
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Trojan.Agent) -> Data: C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NvCplDaemonTool (Trojan.Agent.WIMP) -> Data: rundll32.exe C:\Users\admin\IMLOAD~1.DLL,_IWMPEvents -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tnaww (Worm.Dorkbot) -> Data: C:\RECYCLER\S-blabla\syitm.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{ (Trojan.ZbotR.Gen) -> Data: C:\Users\admin\AppData\Roaming\Leulx\usis.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|(Trojan.Agent) -> Data: C:\Users\admin\AppData\Roaming\aw347uyxzd586.exe -> No action taken.

Registry Data Items Detected: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanydiskt33.dll (Trojan.Agent) -> No action taken.
C:\Users\admin\imloadvD7.dll (Trojan.Agent.WIMP) -> No action taken.

(end)
dritt scan

Zitat:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.10.06

Windows 7 Service Pack 1 x64 FAT
Internet Explorer
admin [Administrator]

Schutz: Aktiviert

11.01.2012 00:19:47
mbam-log-2012-01-11 (00-42-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336381
Laufzeit: 21 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NvCplDaemonTool (Trojan.Agent.WIMP) -> Daten: rundll32.exe C:\Users\admin\IMLOAD~1.DLL,_IWMPEvents -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Per.schutz 11.01.2012 01:30
Sorry doppelpost

markusg 11.01.2012 13:51
ist es denn so schwierig einfach das zu tun was hier steht, habe ich irgendwo irgendwas von malwarebytes geschrieben?
kann mich nicht daran erinnern.
nutzt du das system für onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?

Per.schutz 11.01.2012 22:59
Nabends alle miteinander.@markusg Sorry, ich habe bei anderen Threads gelesen das mit Malwarebytes und dachte, probier es auch mal.Ist mein innerer Schweinehund der manchmal ungeduldig ist.

Zitat:
nutzt du das system für onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?
Nein,nur für Internet und zum zocken.Warum :) ?

Habe jetzt OTL bei Desktop eingefügt ,doch kann ihn nicht sehen.Hoffe dass ich keine grosse scheiße gebaut hap.

markusg 12.01.2012 14:21
dein system ist ziemlich stark infiziert.
es wäre warscheinlich trotzdem besser es neu aufzusetzen.
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk, kannst du dort arbeiten?
schau mal über rechtsklick auf desktop, ob du über ansicht die symbole einblenden kannst


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131