Hallo zusammen,

ich habe mir die Regeln durchgelesen und hoffe es klappt soweit. Gestern Abend habe ich mir einen sogenannten GVU-Trojaner eingefangen. Ich hab das Lan-Kabel umgehend gezogen, somit war der Rechner noch nicht blockiert, allerdings habe ich nach einenm Neustart mit Kaspersky WindowsUnlocker wieder die Herstellung zum Internet hergesellt. Heute Morgen habe ich das System von Malwarebytes Anti-Maleware scannen lassen:

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.11.12.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Schwarz :: SCHWARZ-PC [administrator]

Protection: Disabled

12.11.2012 10:54:41
mbam-log-2012-11-12 (10-54-41).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 356506
Time elapsed: 1 hour(s), 3 minute(s), 48 second(s)

Memory Processes Detected: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1984 -> No action taken.

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 5
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\Schwarz\ms.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Schwarz\AppData\Local\Temp\5491001.Uninstall\Uninstall.exe (Adware.InstallCore) -> Quarantined and deleted successfully.
C:\Users\Schwarz\AppData\Roaming\msconfig.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Quarantined and deleted successfully.

Nachdem die betroffenen Datein entfernt wurden, letzter Scan heute:

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.11.12.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Schwarz :: SCHWARZ-PC [administrator]

Protection: Disabled

13.11.2012 01:19:56
mbam-log-2012-11-13 (01-19-56).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 195808
Time elapsed: 6 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

In der Zwischenzeit haben sich meinen beiden externen Fesplatten infiziert, die mit dem PC verbunden waren. In beiden Fällen sind die Ordner verschwunden und nur noch Verknüpfungen sichtbar, allerdings kann man über die adresszeile auf die Ordner zugreifen. AVG Internet Security 2013 hat die Verknüpfungen als backdoor.dorkbot identifiziert. die externen Platten habe ich nicht mehr angerührt bzw. angeschlossen. Nun hoffe ich, dass ihr mir helfen könnt und ich meine Daten retten kann. Im Anhang: OTL, Extra und Gmer. Danke im Voraus für eure Mühe

Zitat:

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> No action taken.

Die Benutzung von Cracks und Keygens verstoesst gegen unseren Kodex.

Schon mal darueber nachgedacht, warum es Cracks gibt?
Mit Cracks & Co installiert man sich Hintertueren auf dem Rechner.
Kriminelle nutzen solche Rechner als Botnetz fuer ihre Machenschaften. Dein System ist als nicht vertrauenswuerdig einzustufen und du solltest keine sensiblen Sachen wie Homebanking an dem PC betreiben.

Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

Danke für die schnelle Antwort. leider müssen manche erst richtig auf die Schnauze fliegen um etwas zu begreifen. Das war mit Sicherheit mein letzter Crack bzw. Keygen. Ich hoffe wirklich sehr, dass ihr mir dennoch helfen könnt.

Ich hab noch ein paar Fragen zum Vorgehen, Alle Daten die ich brauche sind bereits auf den externen Festplatten, allerdings in blassen Ordnern. Muss ich trotzdem eine Datensicherung mit Partet Magic durchführen? Wenn ich Windows neu aufsetze wie kann ich am besten die externen Platten prüfen bzw. säubern ohne die Daten zu verlieren?

Viele Grüße

Michael

Zitat:

Ich hab noch ein paar Fragen zum Vorgehen, Alle Daten die ich brauche sind bereits auf den externen Festplatten, allerdings in blassen Ordnern.

Das ist gut.

Zitat:

Muss ich trotzdem eine Datensicherung mit Partet Magic durchführen?

Nein.

Stoepsle die Platte an und fuehre aus:

ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Zitat:

Wenn ich Windows neu aufsetze wie kann ich am besten die externen Platten prüfen bzw. säubern ohne die Daten zu verlieren?

Mit einem normalen Virenscanner.
Das sollte kein Problem sein.

hier die logfile von ESET:


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=db1484e06f2a4d4ab37378f1f70f4ba7
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-14 07:47:40
# local_time=2012-11-14 08:47:40 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776573 100 94 4515 105293301 0 0
# compatibility_mode=8192 67108863 100 0 3697 3697 0 0
# scanned=138905
# found=2
# cleaned=2
# scan_time=24701
C:\Users\Schwarz\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4BWKQ5G0\download[1].exe a variant of Win32/InstallCore.AY application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Schwarz\AppData\Local\Temp\ICReinstall_download[1].exe a variant of Win32/InstallCore.AY application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Hattest du die Platten auch dran?

Die Platten waren auch dran, allerdings hatte ich zuvor im Laufe des Tages beide Platten mit der Kaspersky Rescue Disc gescannt gehabt. Es gab einen Befund der entfernt wurde.

Was kannst du dem Logfile entnehmen?

Nun hab ich folgendes Problem mit den externen Platten: Die versteckten Ordner in denen die Daten waren bzw. sind werden nicht mehr unter Windows angezeigt. Wenn ich aber mit von der Kaspersky Rescue Disc boote, dann habe ich Zugriff auf alle Daten. Was soll ich nun tun?

http://www.trojaner-board.de/59624-a...-sichtbar.html

Soweit so gut. Wenn ich Daten von den externen Platten nun wieder auf den Rechner ziehe , würdest du mir empfehlen die externen Platten zu formatieren oder ist das nicht notwendig?

Ist jetzt eigentlich alles überstanden?

Nicht notwendig.

Zitat:

Ist jetzt eigentlich alles überstanden?

Nach dem Neuaufsetzen, ja!

Dann möchte ich mich hier an dieser Stelle ganz herzlichst bei dir bedanken!!!

Zum Schluß hätte ich noch eine Frage: Mir ist klar, dass es nicht das beste AV-Programm gibt und alle ihre Stärken und Schwächen haben. Dennoch bitte ich um eine Empfehlung. Ich möchte mir ein kostenpflichtiges Internet Security zulegen, und ich kann mich zwischen Kaspersky und Bitdefender nicht entscheiden. Könntest du mir einen Tip geben?

Viele Grüße

Mein Tipp: Microsoft Security Essentials - Microsoft Windows

Es kommt immer auf ein gepflegtes und aktuelles System an, nicht auf den Virenscanner.