Trojaner-Board - GVU Trojaner Januar 2013 - Kaspersky Windowsunlocker -

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner Januar 2013 - Kaspersky Windowsunlocker - (https://www.trojaner-board.de/129333-gvu-trojaner-januar-2013-kaspersky-windowsunlocker.html)

GVU Trojaner Januar 2013 - Kaspersky Windowsunlocker -

Hallo Team,

ich habe mir beim Anklicken einer Homepage obigen Trojaner eingefangen. Danach habe ich das System relativ schnell mit dem Kasp. Windowsunlocker wieder entsperrt und mit Avira einen Systemcheck gemacht, die gefundene Maleware gelöscht. Ich habe Bedenken das nicht alles entfernt wurde und bin dabei auf Eure Seite gestossen. Aus Eurer Anleitung habe ich Punkt 1 und 2 ausgeführt, Defogger startete ohne Fehlermeldung und OLT Dateien befinden sich im Anhang. Bitte teilt mir mit, ob es sich überhaupt noch lohnt weiterzumachen, oder ob ich das System neu aufsetzten soll.

Die OLT Text Datei war zu groß, daher als rar. (97 kb sind erlaubt, sie hatte 118 kb)

Vielen Dank für eure Hilfe,

Gruß

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] 

[2013.01.09 07:44:27 | 000,002,893 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js 

:Files

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\Admin\*.tmp

C:\Users\Admin\AppData\Local\Temp\*.exe

C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'jhon,

vielen vielen Dank für deine schnelle Antwort und deine Zeit.
Ich habe die geforderten Schritte durchgeführt. OLt ist problemlos durchgelaufen. Die Log's sind im Anhang.

Gibt es Hoffnung?

Gruß

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo mein Held!

Also der Rechner läuft und läuft und läuft!!!!

Werde jetzt noch deine Anweisung ausführen und danach Log posten!

Meinst du der is dan clean???

Gruß und Danke!!!

Zitat:

Meinst du der is dan clean???

Erst wenn ich bescheidgebe.
Wir mussen kontrollieren und absichern, sonst hast du ihn gleich wieder.

Bitte mit Log wieder melden.

Moin t'john,

emsisoft hat, denke ich, nicht richtig funktioniert. Bei dem 1. Scan hat sich der Rechner definitiv irgendwann selbst neu gestartet, dann war eine Fehlermeldung von windows aufm Schirm, in etwa "scfatch funktioniert nicht", oder so ähnlich. Ich habe über Nacht nochmal emsisoft laufen lassen, scheint wieder nciht gefunzt zu haben aber diesmal gab es nach automatischem reboot keine Fehlermeldung. Ich lasse Emsisoft jetzt gerade als 3. Versuch laufen.

Gruß und Danke,

Moin t'jhon,

die Meldung kam gerade wieder bei 61 % Verlauf von Emsisoft, Superfetch funktioniert nicht mehr...

Gruß

Bitte mal ausfuehren:
http://www.trojaner-board.de/72874-s...eparieren.html

Danach:
- neustarten
nochmal versuchen

Hallo t'john,

hab letzten Schritt ausgeführt, der scan (cmd... http://www.trojaner-board.de/72874-s...eparieren.html) hat etwas repariert.

Ich werde jetzt nochmal Malwarescan mit emsisoft vornehmen und dir dann den Scan posten.

Vielen Dank und Gruß,

Freelancer99

Hallo t'john,

anbei der Log von Emsisoft.

Vielen Dank,

Pc läuft bisher ohne Abstürze.

Gruß

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo t'john,

hiermit wie gewünscht. Eset lief durch.

Gruß Freelancer

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Moin t'john,

anbei wie gewünscht:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Internet Explorer 9.0 ist aktuell

Flash (11,5,502,146) ist aktuell.
Java (1,7,0,11) ist aktuell.

Adobe Reader 10,1,0,0 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0

Zurück

Tools:

StartSeite
PluginCheck
Secunia Online Scan

Weiterführendes:

Java Updaten und Einstellen

Secunia Personal Software Inspector (PSI)

Family:

TR/Agent

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

JAVA Plug-In deaktivieren

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck