Trojaner-Board - GUV Trojaner auf Windows 7

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GUV Trojaner auf Windows 7 - Ein weiteres Mal (https://www.trojaner-board.de/120043-guv-trojaner-windows-7-weiteres-mal.html)

GUV Trojaner auf Windows 7 - Ein weiteres Mal

Hi,

wie es so aussieht, habe ich mir einen Trojaner eingefangen, der hier meiner Interpretation nach bereits mehrmals unter dem Titel "GUV Trojaner mit Webcam auf Window 7" oder ähnlich behandelt wurde.

Hier die Chronologie:
12.07.2012: Der vermeintliche GUV Trojaner tritt zum ersten Mal auf. Auf meinen Bildschirm erscheint ein Fenster: Rechts oben mein Bild mit der eigenen Webcam, oben auch das Emblem "Bundesinnenministerium....". Der Inhalt: die Aufforderung, Geld zu überweisen, weil ich eine strafbare Urheberrechtsverletzung begangen hätte. Dann würde der Bildschirm wieder freigegeben. Der Taskmanager lässt sich nicht aufrufen. Nichts geht, nur Herunterfahren. Ohne Internetzugang kann ich allerdings normal arbeiten.
13.07.2012: Erster Fullscan mit Antivir findet nichts ("Kein Fund").
14.07.2012: Nach einem Update gibt mir Antivir eine Warnung "1 unerwünschtes Programm" (glom0_og.exe -> TR/Drop.Injector.fjbz, siehe Report). Ich stelle es in Quarantäne.
Dann kann ich wieder normal ins Internet. Ich erkundige mich, finde hier einige Threads dazu.
Lade Malbytes runter und mache einen Scan (siehe Logfile).
21.07.2012: Ich folge den 3 Anweisung gemäß
http://www.trojaner-board.de/69886-a...beachten.html:
1) Ausführen von defogger
2) ....OTL
3) ....GMER
Letzteres stürzt leider zwei mal ab mit Bluescreen.

Meine Fragen:
1) Zwischen dem 14. und 21.7. habe ich Online-Banking gemacht. Ich habe gelesen, dass der Trojaner noch auf dem Rechner ist. Bin ich dadurch ein Risiko eingegangen?
2) Was empfehlt Ihr mir? Neuaufbau (mit Acer Aspire One wurde leider keine Windows CD mitgeliefert) oder Fortsetzung Eures Verfahrens?
3) Seit dem Absturz von GMER klappt der Windows Update nicht mehr. Kann das damit irgendwie zu tun haben?

Es wäre wirklich super, wenn ich einen Rat bekäme. Danke.

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - (USBCCID) -- system32\DRIVERS\RtsUCcid.sys File not found 

DRV - (RtsUIR) -- system32\DRIVERS\Rts516xIR.sys File not found 

IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 

IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW 

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 

IE - HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 

IE - HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_deDE369DE369 

IE - HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE - HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

FF - prefs.js..browser.search.useDBForOrder: true 

FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 

FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\UT\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\UT\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll 

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found 

O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found 

O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 

O32 - HKLM CDRom: AutoRun - 1 

O33 - MountPoints2\{790cbd3b-29f0-11df-a531-0026225ea070}\Shell - "" = AutoRun 

O33 - MountPoints2\{790cbd3b-29f0-11df-a531-0026225ea070}\Shell\AutoRun\command - "" = D:\autorun.bat Photos 

[2012.07.21 11:02:47 | 000,001,610 | ---- | M] () -- C:\Users\UT\AppData\Roaming\Mozilla\Firefox\Profiles\3newy0pd.default\searchplugins\ixquick-https---deutsch.xml 

[2012.07.21 11:20:07 | 000,001,056 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4225967951-3527232905-2354123732-1000Core.job 

[2012.07.21 11:19:01 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 

[2012.07.21 11:08:10 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4225967951-3527232905-2354123732-1000UA.job 

[2012.07.21 11:00:02 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 

[2012.07.21 10:59:24 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job 

[2012.07.13 20:11:38 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 

[2012.07.13 00:08:11 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 

[2012.06.07 13:49:12 | 000,426,184 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe 

[2012.06.07 13:49:15 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job 

:Files
 

D:\autorun.bat
 

C:\ProgramData\go_0molg.pad

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

t'john, erstmal vielen, vielen Dank für die schnelle Unterstützung. Ich bin sehr froh, dass ich die Angelegenheit ohne Neuaufbau lösen konnte. Ohne solche Portale und Menschen wie Euch, die einem unentgeltlich helfen, würde das Internet wohl bald keinen Spaß machen. =)

Hab ich das mit den Code-Tags richtig verstanden.....?

Code:

All processes killed

Error: Unable to interpret <Code:> in the current context!

Error: Unable to interpret <---------> in the current context!

========== OTL ==========

Error: No service named USBCCID was found to stop!

Service\Driver key USBCCID not found.

File  system32\DRIVERS\RtsUCcid.sys File not found not found.

Error: No service named RtsUIR was found to stop!

Service\Driver key RtsUIR not found.

File  system32\DRIVERS\Rts516xIR.sys File not found not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKEY_USERS\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.

Registry key HKEY_USERS\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

HKU\S-1-5-21-4225967951-3527232905-2354123732-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

Prefs.js: true removed from browser.search.useDBForOrder

Prefs.js: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 removed from extensions.enabledItems

Prefs.js: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ not found.

File C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ not found.

File C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found.

Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ not found.

File C:\Users\UT\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found.

Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ not found.

File C:\Users\UT\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found.

File C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin not found.

File C:\Windows\System32\mctadmin.exe not found.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin not found.

File C:\Windows\System32\mctadmin.exe not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{790cbd3b-29f0-11df-a531-0026225ea070}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{790cbd3b-29f0-11df-a531-0026225ea070}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{790cbd3b-29f0-11df-a531-0026225ea070}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{790cbd3b-29f0-11df-a531-0026225ea070}\ not found.

File D:\autorun.bat Photos not found.

File C:\Users\UT\AppData\Roaming\Mozilla\Firefox\Profiles\3newy0pd.default\searchplugins\ixquick-https---deutsch.xml not found.

File C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4225967951-3527232905-2354123732-1000Core.job not found.

File C:\Windows\tasks\GoogleUpdateTaskMachineUA.job not found.

File C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4225967951-3527232905-2354123732-1000UA.job not found.

File C:\Windows\tasks\GoogleUpdateTaskMachineCore.job not found.

File C:\Windows\tasks\Adobe Flash Player Updater.job not found.

File C:\ProgramData\go_0molg.pad not found.

File C:\ProgramData\go_0molg.pad not found.

File C:\Windows\System32\FlashPlayerApp.exe not found.

File C:\Windows\tasks\Adobe Flash Player Updater.job not found.

========== FILES ==========

File\Folder D:\autorun.bat not found.

File\Folder C:\ProgramData\go_0molg.pad not found.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\UT\Desktop\cmd.bat deleted successfully.

C:\Users\UT\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Admin

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Administrator

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Internet

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: UT

->Temp folder emptied: 329541 bytes

->Temporary Internet Files folder emptied: 78591292 bytes

->Java cache emptied: 1087790 bytes

->FireFox cache emptied: 93951532 bytes

->Google Chrome cache emptied: 31043489 bytes

->Flash cache emptied: 970 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 201442560 bytes

RecycleBin emptied: 1009625129 bytes

 

Total Files Cleaned = 1.350,00 mb

 

 

[EMPTYFLASH]

 

User: Admin

 

User: Administrator

 

User: All Users

 

User: Default

 

User: Default User

 

User: Internet

->Flash cache emptied: 0 bytes

 

User: Public

 

User: UT

->Flash cache emptied: 0 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

Error: Unable to interpret <---------> in the current context!

 

OTL by OldTimer - Version 3.2.54.0 log created on 07242012_214325
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Hast du den Fix mehrmals ausgefuehrt?

Wo ist das Log vom ersten mal?
Suche hier: C:\_OTL\MovedFiles\

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hi, t'john.

Ja, ich habe den Fix 2x ausgeführt. Während des ersten Laufs war mir aufgefallen, dass ich vergessen hatte, Antivir zu deaktivieren. Ich habe den ersten Lauf dann abgebrochen, Antivir deaktiviert und den Fix dann nochmal gestartet. Hoffentlich habe ich damit nichts kaputt gemacht....!

Was das erste Logfile angeht: In \OTL\MovedFiles finden sich zwar zwei Unterordner (07242012_213621 und 07242012_214325), aber nur ein log-file 07242012_214325.log. Das Verzeichnis 07242012_213621 besitzt seinerseits verschiedene Unterverzeichnisse, die auch Dateien enthalten (wie z.B. npGoogleUpdate3.dll), 07242012_214325 ist leer.
Ergibt das irgendwie Sinn? Ist es möglich, dass bei dem abgebrochenen Lauf kein Log erzeugt wurde? Ich habe jetzt mal 07242012_214325.log als .txt angehängt, das sieht allerdings nicht viel anders aus, als das, was bereits vorhanden ist (glaubt man dem Log-file, ist es das gleiche).

Der Rechner ist eigentlich bislang ganz normal gelaufen (Wie erkenne ich eigentlich, dass mein Rechner nicht mehr infiziert ist?)

Desweiteren habe ich Deine Anweisungen ausgeführt.
1. Schritt: Malware aktualisiert, Fullscan ausgeführt, infizierte Dateien gelöscht und Log-file(s) gepostet.
2. Adwcleaner.exe – Search, und Log gepostet.

Danke soweit!

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hi, t'john.

Irgendwas scheint nicht ganz reibungslos zu laufen.
Ich habe wie empfohlen..
1) adwcleaner.exe ausgeführt und dann
2) Emsisoft Malware heruntergeladen und
3) versucht zu installieren, aber mein Virenscanner identifziert eine unerwünschte Datei (ezLookerSilent_DDD_FTT_BG_BD_BVD.exe, siehe Antivir log-file) und verweigert den Zugriff auf diese. Ich habe die Datei in Quarantäne gestellt (sicherheitshalber). Die Installation läuft zwar durch (mit einer Fehlermeldung, die auf das Fehlen der Datei hinweist), aber beim Programmstart zeigt sich ein Fehler.

Was soll ich machen? Den Virenscanner ausschalten und die Installation nochmals durchführen? Dann wie beschrieben fortfahren (Signature update, Freeware-Modus, Detail-Scan)?

Zitat:

Was soll ich machen? Den Virenscanner ausschalten und die Installation nochmals durchführen? Dann wie beschrieben fortfahren (Signature update, Freeware-Modus, Detail-Scan)?

Ja Genau so!

Hallo t'john.

Ok. Emsisoft Malware installiert, gescannt, 1 Datei gefunden (siehe Log), die ich aber nicht gelöscht/ nicht in Quarantane verschoben habe.
Ich habe auch die vorangegangenen Schritte nicht noch einmal ausgeführt. War das in Ordnung?

Es hat möglicherweise nichts mit dem Trojaner zu tun, aber mein Antivir hat eine mögliche Schaddatei gefunden (siehe Log).

Wie geht es weiter?

Grüße.
Youtee.

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi, t'john.

Sorry, war länger unterwegs.
Also, ich habe....
Emisoft deinstalliert, ESET installiert und PC gescannt.
Log-file gepostet.
ESET deinstalliert.

Ist der Rechner nun sauber?
Soll ich sicherheitshalber sämtliche Passworte ändern, die ich irgendwie zwischenzeitlich eingetippt habe?

Grüße und danke nochmals.

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.