Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.05.2013, 15:27   #1
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo,
ich bin wahrlich kein EDV-Profi und bin umso mehr auf Eure/Deine Hilfe angewiesen. Werde so detailliert wie möglich von meinem Problem berichten. Die bisherigen Hinweise in Eurem Blog haben mir nicht geholfen.
- Habe seit gestern mit einem GVU-Ukash-Virus zu kämpfen. Leider ist dies über den Administratorzugang geschehen, den ich jetzt nur noch über den Abgesicherten Modus erreiche. Nach dem Start des Administratorzugangs friert sofort der Bildschirm ein und die Erpressungsmeldung verhindert weitere Zugriffe auf das Betriebssystem, ich kann den Taskmanager nicht vorher starten.
- Alle Logfiles, die ich Euch/Dir schicke sind dementsprechend über das zweite Benutzerkonto erstellt worden – bin mir nicht sicher, ob das sinnvoll ist. Bisher kann ich dieses zweite Benutzerkonto ohne Administratorrechte ohne Probleme starten und auch online gehen.
- Ich benutze Windows 7 64-bit auf einem Dell-Laptop, mir ist es nicht gelungen, den Rechner mit Hilfe des DE-Cleaner oder Kaspersky WindowsUnlocker zu starten. Der Laptop greift nicht auf die Boot-CDs zu, bzw. ich kann die Einstellungen im Bios nicht so ändern, dass von der CD gebootet wird.
- Ich möchte es vermeiden eine Systemwiederherstellung zu vollziehen, da ich gestern Abend noch an wichtigen Textdateien gearbeitet habe, die ich nur ungern aufgeben möchte.
- Defogger gibt keine Fehlermeldung aus.
- Gmer bricht nach einer Fehlermeldung ab.
Vielen, vielen Dank für Eure Hilfe!

Alt 04.05.2013, 19:56   #2
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch





Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL

[2013.05.04 13:09:27 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe 
[2013.05.04 14:35:30 | 095,023,320 | ---- | M] () -- C:\ProgramData\deejd.pad 
[2013.05.03 21:16:24 | 000,000,151 | ---- | M] () -- C:\ProgramData\deejd.reg 
[2013.05.03 21:16:24 | 000,000,055 | ---- | M] () -- C:\ProgramData\deejd.bat 
[2013.05.03 21:16:11 | 000,163,840 | ---- | M] () -- C:\ProgramData\djeed.dat 
[2012.08.11 04:12:04 | 004,503,728 | ---- | C] () -- C:\ProgramData\00etadpu.pad 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________

__________________

Alt 05.05.2013, 18:17   #3
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,

vielen Dank für Deine Hilfe, ich wäre ohne Dich wirklich aufgeschmissen. Bin nun bereits einige Schritte weiter, ein letztes Problem ist allerdings immer noch nicht gelöst. Wenn ich nach dem Abarbeiten aller von Dir genannten Schritte nun den Administratorzugang wähle, erscheint stets die Fehlermeldung "Problem bei Starten von C:\Progra~3\djeed.dat - Das angegebene Modul wurde nicht gefunden." Dies scheint mir ein Verweis auf den Trojaner zu sein, den ich nicht gelöscht bekomme. Habe eigenmächtig den CCleaner genutzt, mit dem ich in der Vergangenheit positve Erfahrungen gemacht habe, leider ohne erkennbaren Nutzen (habe mich aber auch gescheut, einige sensible Bereiche zu löschen, d.h. dort Haken zu setzen).
Vielleicht noch einige Worte zum vorangegangenen Vorgehen: Ich habe die drei von Dir vorgegebenen Schritte sowohl auf dem zweiten Benutzerkonto und dann - als es mir möglich war - nochmals auf dem Administratorkonto durchgeführt. Malwarebytes Anti-Rootkit konnte ich nicht zu Ende durchführen, weil der Suchlauf auch nach 5-6 Stunden nicht beendet war und keine Fehlermeldung ausgegeben hat. Bevor ich die Software von Malwarebytes überhaupt das erste Mal starten konnte, hatte Avira Antivir unmittelbar nach dem Start des Rechners (ich konnte Antivir so schnell gar nicht abbrechen), einen Schädling mit einem "djeed"-ähnlichen Titel bereits entfernt. Alle andere Programme liessen sich aber stets problemlos durchführen.

Ich weiß Deine Unterstützung wirklich sehr zu schätzen!!!

Viele Grüße,
SemiSelekta
__________________
Angehängte Dateien
Dateityp: log 05042013_221642.log (4,0 KB, 109x aufgerufen)
Dateityp: txt mbar-log-2013-05-05 (17-03-27).txt (1,9 KB, 108x aufgerufen)
Dateityp: txt AdwCleaner[S7].txt (2,0 KB, 115x aufgerufen)
Dateityp: txt AdwCleaner[S6].txt (1,9 KB, 125x aufgerufen)
Dateityp: txt AdwCleaner[S5].txt (1,2 KB, 124x aufgerufen)

Alt 05.05.2013, 18:54   #4
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Mfg, t'john
Das TB unterstützen

Alt 05.05.2013, 19:30   #5
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
anbei die notwendigen Dateien zur weiteren Fehleranalyse. Nochmals vielen Dank.

Viele Grüße,
SemiSelekta


Alt 05.05.2013, 19:46   #6
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    ATTFilter
    :regfind 
    djeed.dat
    
    :folderfind 
    djeed
    
    :filefind 
    *djeed.dat
             
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
__________________
--> GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch

Alt 05.05.2013, 20:08   #7
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
anbei die SystemLook-Datei zur weiteren Information.

Viele Grüße,
Semi-Selekta

Alt 05.05.2013, 20:17   #8
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



ok:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Mfg, t'john
Das TB unterstützen

Alt 05.05.2013, 20:54   #9
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
leider weiß ich nicht, was "CODE-Tags" sind, dswg. schicke ich Dir die Combofix.txt im Anhang. Ich hoffe, Du kannst damit etwas anfangen. Sonst würde ich, wenn Du mir kurz schreibst wie, die Datei selbstverständlich auch umformatieren. Für die Erläuterung der nächsten Schritte wäre ich Dir sehr dankbar.

Viele Grüße,
SemiSelekta
Angehängte Dateien
Dateityp: txt ComboFix.txt (44,6 KB, 155x aufgerufen)

Alt 05.05.2013, 21:38   #10
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Windows Repair Tool (AIO)

  • Downloade Windows repair tool
  • Entpacke das Zip und starte Repair_Windows.exe
  • Klicke auf Start repairs Tab dann: Start

    folgende Punkte auswählen

    Register System Files
    Repair WMI
    Repair Windows Firewall
    Remove Policies Set By Infections
    Repair Important Windows Services
    Set Windows Services To Default Startup


    Auswählen: Restart System When Finished
    Dann Start Button klicken.


dann:



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.05.2013, 19:17   #11
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
entschuldige bitte vielmals, dass ich mich jetzt erst melde. Gerne hätte ich Dich bereits vorher über die Ergebnisse informiert, aber leider hat der Prozess, Deine Vorgaben abzuarbeiten, so lange gedauert, dass ich Dir erst jetzt wieder schreiben kann. Der ESET-Scan hat so lange gedauert, dass ich ihn gestern Nacht abbrechen und heute neu starten musste. Bevor ich die Log-Dateien anhänge noch einige weitere Informationen:
- Nach dem Ausführen des Windows Repair Tool ist die Fehlermeldung nach dem Starten des Betriebssystems weiterhin aufgetreten - sie tritt leider bis heute noch auf. (djeed.dat...)
- Das avast Antirootkit ist abgestürzt, so dass ich (none) anwählen musste. Dieser Scanprozess funktionierte dann.
- Der ESET-Scan hat drei Bedrohungen angezeigt, ich habe diese allerdings nicht entfernen lassen, sondern, wie von Dir vorgegeben, ESET vollständig entfernt.
- Ich konnte Avira Antivir nicht komplett deaktivieren und habe es - zu einem relativ späten Zeitpunkt der Abarbeitung Deiner Vorgaben - mittlerweile vollständig löschen müssen, damit es sich nicht weiter einmischt (oder es versucht).

Im Anschluss findest Du erst den ESET-Log und dann den Systemcheck-Log, im Anhang die aswMBR.txt. Ich bin gespannt, wie es weitergeht. Vielen Dank für all Deine Unterstützung.

Viele Grüße,
SemiSelekta

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=3bc36bac9628234599ae472324b9a118
# engine=13759
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-05 09:39:29
# local_time=2013-05-05 11:39:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 3331 233209659 0 0
# compatibility_mode=5893 16776574 100 94 77471369 119419819 0 0
# scanned=47411
# found=0
# cleaned=0
# scan_time=1286
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=3bc36bac9628234599ae472324b9a118
# engine=13765
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-06 05:43:20
# local_time=2013-05-06 07:43:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 77540000 119492050 0 0
# scanned=369217
# found=3
# cleaned=0
# scan_time=10891
sh=70EF321C35A1D7D12A15044D4562B5D872A872BA ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk"
sh=860672B9A8AC3DBE0FFA75DD34C879C3464AD0E1 ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\_OTL\MovedFiles\05042013_221642\C_ProgramData\deejd.bat"
sh=C34B9F178F5445BCAA78F114B035503C01EEBA02 ft=1 fh=a061779830ab6a60 vn="a variant of Win32/Kryptik.BADU trojan" ac=I fn="C:\_OTL\MovedFiles\05042013_221642\C_ProgramData\djeed.dat"


Results of screen317's Security Check version 0.99.63
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Spybot - Search & Destroy
Java(TM) 6 Update 26
Java 7 Update 17
Java version out of Date!
Adobe Flash Player 11.6.602.180
Adobe Reader XI
Mozilla Firefox (20.0.1)
Google Chrome 23.0.1271.64
````````Process Check: objlist.exe by Laurent````````
IObit IObit Malware Fighter IMFsrv.exe
IObit IObit Malware Fighter IMF.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
Angehängte Dateien
Dateityp: txt aswMBR.txt (1,7 KB, 107x aufgerufen)

Alt 06.05.2013, 19:46   #12
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
:Files
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.05.2013, 20:35   #13
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
der erste Neustart ohne Fehlermeldung (djeed.dat...). Wunderbar! Ab wann kann ich denn davon ausgehen, dass der Schädling restlos entfernt ist? Java in der neuesten Version konnte ich anscheinend nur in der 32-bit Version installieren. Geht das in Ordnung? Wie kann ich mich in Zukunft außer mit regelmäßigen Java-Updates (ist eingestellt) noch besser schützen? Anti-Mailware, Firewall und Anti-Virensoftware habe ich schon vorher benutzt.

Anbei erstmal die notwendigen Infos:
========== OTL ==========
========== FILES ==========
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 05062013_205600

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 20.0 ist aktuell

Flash (11,6,602,180) ist aktuell.

Java (1,7,0,21) ist aktuell.

Adobe Reader 11,0,2,0 ist aktuell.

Nach der Deaktivierung von Java:
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 20.0 ist aktuell

Flash (11,6,602,180) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 11,0,2,0 ist aktuell.

Alt 06.05.2013, 20:39   #14
t'john
/// Helfer-Team
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.




Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.05.2013, 21:28   #15
SemiSelekta
 
GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Standard

GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch



Hallo t´john,
habe alle weiteren Schritte von Dir abgearbeitet - ich bin wirklich begeistert von Deiner Hilfe. Die Zeit, Mühe und Geduld, die Du aufbringst, ist Dir wirklich sehr hoch anzurechnen. Ihr seid richtig gute Menschen!!!

Ich werde mich erkenntlich zeigen, ich möchte an alle anderen User dieses Forums appellieren, dies auch zu tun. Werde mich jetzt sukzessive durch die weiteren Vorschlägen für mögliche Vorsichtsmaßnahmen arbeiten. Hoffentlich helfen diese, baldige erneute Schäden abzuwenden.

Ich bedanke mich von ganzem Herzen bei Dir und wünsche Dir weiterhin viel Spaß bei Deiner Arbeit - das Internet braucht Menschen wie Dich!!!

Viele Grüße,
SemiSelekta

Antwort

Themen zu GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch
administratorrechte, benutzerkonto, betriebssystem, bildschirm, bios, dateien, einstellungen, erstellt, fehlermeldung, funktioniert, gvu-trojaner, kaspersky, logfiles, mai 2013, problem, probleme, rechner, start, systemwiederherstellung, taskmanager, voll, win32/kryptik.badu, win32/reveton.m, windows, windows 7, ändern



Ähnliche Themen: GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch


  1. Windows 8: DirektPay Trojaner; nur abgesichter Modus
    Log-Analyse und Auswertung - 24.09.2015 (23)
  2. Windows funktioniert nur noch im Abgesicherten Modus mit Netzwerkeingabe. Im normalen Modus hängt er sich nach ein par Minuten auf.
    Log-Analyse und Auswertung - 25.10.2014 (9)
  3. Maus funktioniert nach Trojaner nur noch im abgesichertem Modus
    Plagegeister aller Art und deren Bekämpfung - 30.07.2014 (11)
  4. Trojaner Interpol mit Sperrbildschirm - Abgesichter Modus nicht möglich
    Log-Analyse und Auswertung - 25.10.2013 (13)
  5. GZV Trojaner - abgesichter Modus startet nicht - Schritt 1 bis 4 erledigt
    Log-Analyse und Auswertung - 03.09.2013 (7)
  6. GUV Trojaner - kein abgesichter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 20.07.2013 (33)
  7. GVU Trojaner Abgesichter Modus funktioniert nicht! FRST Scan durchgeführt.
    Log-Analyse und Auswertung - 15.07.2013 (5)
  8. weißer Bildschirm bei Windowsstart; abgesicherter Modus mit Eingabefunktion funktioniert nur noch
    Plagegeister aller Art und deren Bekämpfung - 03.06.2013 (21)
  9. GVU Trojaner / abgesichter Modus blockiert
    Log-Analyse und Auswertung - 14.05.2013 (2)
  10. GVU trojaner eingefangen, kein abgesichter Modus moeglich. OTLlog auswerten
    Log-Analyse und Auswertung - 24.02.2013 (4)
  11. Und noch ein GVU Trojaner! Abgesichter Modus nicht verfügbar
    Plagegeister aller Art und deren Bekämpfung - 26.01.2013 (1)
  12. Bluescreen nach Kaspersky Rescue Scan (10h) -> normal und abgesichter Modus
    Diskussionsforum - 05.08.2012 (9)
  13. Windows Verschlüsselungs-Trojaner...kein Systemzugriff...kein abgesichter Modus
    Log-Analyse und Auswertung - 05.07.2012 (7)
  14. BKA Ukash Trojaner; Abgesicherter Modus funktioniert noch
    Log-Analyse und Auswertung - 05.09.2011 (5)
  15. Internet funktioniert nur noch im abgesicherten Modus
    Log-Analyse und Auswertung - 28.07.2009 (16)
  16. Rechner ist sehr langsam und Abgesichter MOdus geht nicht
    Log-Analyse und Auswertung - 21.12.2007 (6)
  17. Abgesichter Modus
    Alles rund um Windows - 15.12.2007 (5)

Zum Thema GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch - Hallo, ich bin wahrlich kein EDV-Profi und bin umso mehr auf Eure/Deine Hilfe angewiesen. Werde so detailliert wie möglich von meinem Problem berichten. Die bisherigen Hinweise in Eurem Blog haben - GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch...
Archiv
Du betrachtest: GVU-Trojaner, Mai 2013, Administratorzugang eingefroren, abgesichter Modus funktioniert noch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.