GVU 2.07 win XP 32bit laptop

[dingo]

Hallo zusammen,
Ich habe mir heute morgen den GVU 2.07 eingefangen und direkt im Anschluss eine Systemwiederherstellung durchgeführt mit einem Datum das 4 Tagen vor der Infektion liegt.
Im Anschluss habe ich mir antivir runtergeladen und lasse soeben das System scannen.
Habe ich somit das wichtigste getan oder wie bekomme ich den Rest komplett von meinem Laptop gelöscht?
Habe gestern noch Online-Banking betrieben, muss ich jetzt besondere Vorsichtsmaßnahmen treffen oder ist das Konto in Sicherheit?
Danke im voraus :)

MfG Dingo

[CG]

Hallo dingo, ein System zu bereinigen ist aufwändig und mit einiger Arbeit für dich verbunden. Es ist immer am Sichersten und meist am Schnellsten bei Schädlingen auf dem Rechner eine Neuinstallation durchzuführen.
Bevor wir anfangen, hier noch ein paar lästige, aber wichtige und grundsätzliche Punkte, die von dir zu beachten sind:

• Es gibt grundsätzlich keinen Support per privater Nachricht oder Email.
• Beachte bitte die Nutzungsbedingungen für botfrei.de.
• Wir bereinigen keine Rechner, die Cracks, Keygens und Konsorten oder kurz, gestohlene Software enthalten.
• Es ist wichtig, dass du solange mitarbeitest, bis alle Punkte abgearbeitet sind und das Signal kommt, dass die Bereinigung beendet ist, auch wenn die Symptome vielleicht schon nach den ersten Aktionen verschwunden sein sollten.
• Solltest du eigenmächtig die Bereinigung abbrechen und dich danach noch einmal mit neuen Problemen melden, kannst du sicher sein, von mir ignoriert zu werden.
• Evtl. vorhandene persönliche Daten und Nachnamen kannst du durch xyz ersetzen.
• Während unserer Reinigungsphase nur Programme installieren, Programme starten und Scans durchführen, die wir anordnen.
• Arbeite die Punkte unbedingt in der vorgegebenen Reihenfolge ab. Sollte etwas nicht klar sein, dann frage nach. Sollte etwas Probleme bereiten, dann berichte es. In jedem Fall warte auf weitere Anweisungen, bevor du den nächsten Punkt startest.
• Sollte ich innerhalb von sieben Tagen kein Feedback mehr von dir erhalten, werde ich das Thema schließen und aus meinen Abonnements löschen.

Bitte erstelle erstmal mit OTL die Logdateien und poste diese hier:

Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung, klicke allerdings statt Minimal-Ausgabe die Standard-Ausgabe an. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Du kannst deinen Nachnamen und/oder persönliche Daten ggfs. anonymisieren. Denke aber daran, die geänderten Daten in meinem Fix wiederherzustellen, sonst funktioniert dieser nicht.

[dingo]

Hoffe das ist so richtig :)!

[CG]

Du hast zwei AV-Scanner auf deinem System, bitte deinstalliere einen davon:

Code:

Kaspersky Internet Security 2011
Avira Free Antivirus

Danach den Fix ausführen:

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
O3 - HKU\S-1-5-21-515967899-1715567821-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager)
O4 - HKU\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O33 - MountPoints2\{0fa027a4-cd8d-11e1-8b73-001d9250e772}\Shell\AutoRun\command - "" = H:\urDrive.exe
O33 - MountPoints2\{68bf10aa-fcde-11e0-8b3f-001d9250e772}\Shell\AutoRun\command - "" = H:\urDrive.exe
O33 - MountPoints2\{b0403a82-de89-11e0-8b2c-001d9250e772}\Shell\AutoRun\command - "" = H:\urDrive.exe
O33 - MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\Shell - "" = AutoRun
O33 - MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\Shell\AutoRun\command - "" = I:\ICM_ML.exe
[2012.09.18 10:28:56 | 083,023,306 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\twabt.pad

:Services
WDICA
PDRFRAME
PDRELI
PDFRAME
PDCOMP
PCIDump
lbrtfdc
i2omgmt
Changer

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = -
"2869:TCP" = -

:Commands
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

[dingo]

Code:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-515967899-1715567821-1417001333-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\\CTFMON.EXE deleted successfully.
C:\WINDOWS\system32\ctfmon.exe moved successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\\CTFMON.EXE deleted successfully.
File C:\WINDOWS\system32\ctfmon.exe not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0fa027a4-cd8d-11e1-8b73-001d9250e772}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0fa027a4-cd8d-11e1-8b73-001d9250e772}\ not found.
File H:\urDrive.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{68bf10aa-fcde-11e0-8b3f-001d9250e772}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68bf10aa-fcde-11e0-8b3f-001d9250e772}\ not found.
File H:\urDrive.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0403a82-de89-11e0-8b2c-001d9250e772}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b0403a82-de89-11e0-8b2c-001d9250e772}\ not found.
File H:\urDrive.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e4f77266-e7d6-11df-8b11-001cbf98d01d}\ not found.
File I:\ICM_ML.exe not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\twabt.pad moved successfully.
========== SERVICES/DRIVERS ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\1900:UDP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\2869:TCP deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temporary Internet Files folder emptied: 205592 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33103 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: mon
->Temp folder emptied: 280053350 bytes
->Temporary Internet Files folder emptied: 5617775 bytes
->FireFox cache emptied: 70615717 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 9826803 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2552906 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1932662 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 354,00 mb
 
 
OTL by OldTimer - Version 3.2.64.0 log created on 09202012_110432

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[CG]

Arbeite bitte als nächstes folgende Punkte ab:

1. Malwarebytes' Anti-Malware

Mache bitte einen Komplett-Scan mit Malwarebytes' Anti-Malware. Denke daran vor dem Scan über den Reiter "Aktualisierung" die Datenbank zu aktualisieren, sofern das Programm diesen Vorgang nicht schon automatisch durchgeführt hat. Anschließend stellst du im Reiter "Suchlauf" auf "Vollständiger Suchlauf" und lässt den kompletten Rechner scannen. Poste mir danach das Logfile hier in den Thread.

Eine Schritt-für-Schritt-Anleitung findest du in unserem Blog.

2. Eset Online Scanner

Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen. Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

[dingo]

Hier die geforderten LOGs.

[CG]

1. Adware suchen mit adwCleaner

• Lade Dir bitte AdwCleaner auf deinen Desktop herunter.
• Schliesse alle Programme.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige zweimal mit Klick auf OK.
• Rechner startet neu.
• Nach Neustart öffnet sich eine Textdatei, die hier posten.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

2. adwCleaner deinstallieren

• Schliesse alle Programme.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Klick auf OK.

[dingo]

Code:

# AdwCleaner v2.002 - Datei am 09/20/2012 um 19:15:23 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : mon - NO-0C9C30D936CD
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\mon\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]

Datei : C:\Dokumente und Einstellungen\mon\Anwendungsdaten\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1992 octets] - [20/09/2012 19:10:29]
AdwCleaner[S2].txt - [821 octets] - [20/09/2012 19:15:23]

########## EOF - C:\AdwCleaner[S2].txt - [880 octets] ##########

[CG]

Brauchst du Java zwingend?!?
Wenn nicht, solltest du den Krempel komplett entfernen und nicht wieder neu installieren, da hier momentan die größten Sicherheitslücken entstehen!

Java deinstallieren, bzw. aktualisieren

Viele Schädlinge kommen über Sicherheitslücken (sog. Exploits) in Java auf ein System. Sofern Java benötigt wird, ist es unbedingt erforderlich, alte Versionen (falls vorhanden) zu deinstallieren und das Risiko zu minimieren, indem Java immer topaktuell gehalten wird. Da mittlerweise selbst in den aktuellsten Versionen Sicherheitslücken vorhanden sind, solltest du Java am besten nur dann installieren, wenn es zwingend benötigt wird. Einige Kollegen haben Java inzwischen komplett von ihrem System verbannt und konnten keinerlei Einschränkungen feststellen. In diesem Artikel wird erklärt, was Java ist und wozu es benötigt wird.

Bei zscaler.com kannst Du testen, ob Deine Java-Version von bekannten Sicherheitslücken betroffen ist. Falls im Firefox das Addon NoScript installiert ist, Skripte auf dieser Seite erlauben.

Deinstalliere alle vorhandenen Versionen von Java über Systemsteuerung => Programme deinstallieren
ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

Laut Logfiles hast du folgende Version auf dem System:

Code:

Java 7 Update 6

Die aktuelle Java-Version findest du hier.
Eventuell angebotene Toolbars nicht mitinstallieren, ggfs. also den Haken beim Toolbar-Angebot entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.