"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
 

Hallo allerseits,

leider habe ich mir offenbar vergangene Woche einen Trojaner eingefangen (Es erschien ein Screen, wonach ich zur Entfernung von Malware Geld bezahlen sollte). Nach einem Neustart konnte ich auf den PC wieder zugreifen, habe AntiVir laufen lassen und auch einen Schädling entdeckt und entfernen lassen. Damit dachte ich, es sei Ruhe.

Als ich aber nun einen Anruf meiner Bank bekam, dass es einen Phishing-Versuch auf meine Bankdaten gegeben habe, bin ich natürlich nervös geworden. (Online Banking ist nun gesperrt, Passwörter sind von einem sicheren Rechner alle geändert worden.)

Nach Suchläufen diverser Programme (Avast, Malwarebytes, SuperAntispyware) scheint das System eigentlich sauber zu sein. Einzig der ESET Online Scanner wird jedes Mal aufs Neue fündig: Er meldet „a variant of Win32/Kryptik.ADPW trojan“ in verschiedenen Varianten im Ordner AppData/Roaming (Log siehe unten). Er löscht diese Daten jedes Mal, sie werden aber offensichtlich umgehend unter verschiedenen Namen („Licensevalidator.exe“, „Upgradechecker.exe“, „Validator.exe“, „Upgrade.exe“) in scheinbar zufällig gewählten Unterordnern von AppData/Roaming neu generiert. Auch im Autostart sind diese Einträge vorhanden. Lösche ich einen (mit CCCleaner), erscheint umgehend ein neuer.

Die entsprechenden Dateien sind in der Unterordnern auch tatsächlich vorhanden. Sämtliche Virenscanner abgesehen von ESET finden dort aber nichts.

ESET weist auch auf eine Variante von „Win32/Gataka.A trojan“ in der operating memory hin, die er nicht entfernen kann. Kann das die Ursache sein?

Daher nun meine Bitte um Hilfe. Kann man da abgesehen von einer Formatierung noch etwas machen? Das Problem ist, dass ich in den nächsten zwei Wochen nicht zuhause bin und daher keine Datensicherung vornehmen kann.

Beste Grüße und vielen Dank im Voraus!
Alex

Hier das ESET log:

Und hier das DDS log:
Weitere Logfiles (Attach.txt / GMER) im Anhang.

Wo sind die Logs von Malwarebytes und den anderen Scannern?

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke für die Antwort!

Hier zunächst die Avira Logs, bei denen er fündig wurde:

Danach Scan mit Malwarebytes, zwar auch Funde aber wohl unabhängig davon:

Dann nochmals Scan mit Avira des betroffenen Ordners, ohne Ergebnis:
Avast Log finde ich leider nicht, war aber komplett ergebnislos.


Heute hat Avira dann doch wieder angeschlagen:


Als ich nun nochmal mit ESET gescannt habe, hat er im Gegensatz zu gestern auch nichts mehr gefunden:
Habe vorhin dann nochmal Avira komplett durchlaufen lassen, auch dort keine neuen Funde:
Im Autostart sind die Einträge "Licensevalidor.exe" etc. jetzt auch verschwunden. Kann man davon ausgehen, dass das Ding jetzt gekillt wurde..? Sollte ich trotzdem formatieren, sobald ich die Möglichkeit dazu habe?

Sorry für die etwas chaotischen Posts! Ich hoffe, du kannst damit trotzdem was anfangen!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Der normale Modus läuft soweit problemlos. Das System war zwischenzeitlich ziemlich langsam, mittlerweile gehts aber wieder weitgehend normal.

Startmenü sieht mir ok aus, da scheint alles da zu sein. Leere Ordner habe ich auch keine entdeckt.

Ansonsten wäre das einzige, was mir in letzter Zeit aufgefallen ist, dass Firefox einige Zertifikate, z.B. von Facebook, nicht mehr akzeptieren wollte. Nachdem ich eine Ausnahme hinzugefügt habe, wurde die Seite trotzdem nicht korrekt angezeigt. Das Problem hatte ich auch mit einigen weiteren Seiten. Nach ein paar Tagen ging aber alles wieder normal.

Davon abgesehen hat eigentlich alles normal funktioniert.

Beste Grüße & Danke für deine Mühe,
Alex

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Alles klar, hier ist das OTL log:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ok, hab den Fix gemacht:

Warum hast du schon was mit dem TDSS-Killer gemacht? Eine falsche Benutzung kann einiges kaputtmachen! POste das Log dazu, es sollte direkt auf C: sein

Ähem... da war ich wohl etwas übereifrig, als das ganze losging. Hab ich völlig verplant, dass ich den auch hab laufen lassen. :stirn:

Hier ist jedenfalls das Log:

Schent so als hättest du alles richtig gemacht :)

Mach bitte ein neues Log mit dem TDSS-Killer. Bitte NICHTS fixen wenn was gefunden werden sollt!

Puh, da bin ich aber froh. ;)

Hier ist das neue Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Alles klar, hier ist das Combo Fix Log:


Gerade bevor ich das starten wollte hat der Avira Echtzeit Scanner auch plötzlich wieder was gemeldet. Fand ich vor allem merkwürdig, weil er das in einem Avast Ordner gefunden haben will...