Trojaner-Board - Seit gestern Abend GVU 2.07 Trojaner bereits mit Mwb gescannt u. Logfiles hinzugefügt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Seit gestern Abend GVU 2.07 Trojaner bereits mit Mwb gescannt u. Logfiles hinzugefügt (https://www.trojaner-board.de/119856-seit-gestern-abend-gvu-2-07-trojaner-bereits-mwb-gescannt-u-logfiles-hinzugefuegt.html)

Seit gestern Abend GVU 2.07 Trojaner bereits mit Mwb gescannt u. Logfiles hinzugefügt

Guten Morgen,

habe seit gestern Abend einen GVU 2.07 Trojaner auf einem Samsung Netbook. Das Betriebsystem ist Windows 7 Starter. Führte bereits einen Scan mit Mwb durch, der drei infizierte Objekte anzeigte. Diese löschte ich. Hier die Logfiles.

Vielen Dank im Voraus für Eure Hilfe!

Schutz: Aktiviert

18.07.2012 22:25:27

mbam-log-2012-07-18 (22-25-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 336376

Laufzeit: 3 Stunde(n), 1 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3

C:\Users\Müller\AppData\Local\Temp\ICReinstall_DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Müller\Desktop\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

F:\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Soll ich jetzt mit defogger weiterarbeiten oder gleich mit OTL?

:hallo:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habe jetzt bereits mit Samsung Recovery Solution eine Systemwiederherstellung durchgeführt. jetzt müsste der Trojaner doch weg sein, oder?

Zumindest die Luecke im System ist da.

Mache den Scan und wir koennen Gefahrenquellen ausschalten.

http://www.trojaner-board.de/119856-...tml#post868977

Hier die OLG-Dateien

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

PRC - C:\Program Files\Samsung Casual  Games\GameConsole\OberonGameConsoleService.exe () 

PRC -  C:\PROGRA~1\samsung\SAMSUN~2\SUPNOT~1.EXE () 

PRC - C:\Program  Files\McAfee\SiteAdvisor\McSACore.exe () 

SRV - (Partner Service) --  C:\ProgramData\Partner\Partner.exe (Google Inc.) 

IE -  HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}  

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" =  http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 

IE -  HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" =  http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN  

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" =  http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7  

IE -  HKU\S-1-5-21-2879688688-820032715-2798379708-1000\Software\Microsoft\Windows\CurrentVersion\Internet  Settings: "ProxyEnable" = 0 

O2 - BHO: (Partner BHO Class) -  {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll  (Google Inc.) 

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value  found. 

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 

O4 -  HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft  Corporation) 

O6 -  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System:  ConsentPromptBehaviorAdmin = 5 

O6 -  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System:  ConsentPromptBehaviorUser = 3 

O32 - HKLM CDRom: AutoRun - 1 

[2009/11/10  03:29:54 | 000,000,368 | ---- | M] () -- C:\windows\Tasks\McDefragTask.job  

[2009/11/10 03:29:54 | 000,000,348 | ---- | M] () --  C:\windows\Tasks\McQcTask.job 

:Files

C:\ProgramData\Partner\Partner.exe

ipconfig  /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Habe jetzt einfach ein paar andere programme deinstalliert und scanne gerade nochmal mit OTl. Hoffe, dass ich danach dann fertig bin. Falls nicht, versuche ich es nochmal mit Deiner Lösung, für die ich Dir sehr danke!

Deinstallieren spiel keine Rolle.

Auf deinem Rechner laeuft jetzt schon Malware:

Zitat:

(Partner Service) -- C:\ProgramData\Partner\Partner.exe (Google Inc.)

Fuehre den FIX aus um ihn zu isolieren!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.