Trojaner-Board - GVU-Trojaner- WindowsUnlocker bereits erfolgreich

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU-Trojaner- WindowsUnlocker bereits erfolgreich (https://www.trojaner-board.de/129811-gvu-trojaner-windowsunlocker-bereits-erfolgreich.html)

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

@Alternate Data Stream - 2560 bytes -> C:\ProgramData\CLDShowX.ini:Update.CL

@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:054B9966

@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:C59E90A4

:Files

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[resethosts]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

OK, hier der Output:

Code:



All processes killed

========== OTL ==========

ADS C:\ProgramData\CLDShowX.ini:Update.CL deleted successfully.

ADS C:\ProgramData\Temp:054B9966 deleted successfully.

ADS C:\ProgramData\Temp:C59E90A4 deleted successfully.

========== FILES ==========
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\xxx\Desktop\cmd.bat deleted successfully.

C:\Users\xxx\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 51913 bytes

->Temporary Internet Files folder emptied: 4750297 bytes

->Flash cache emptied: 57147 bytes

 

User: All Users

 

User: AppData

 

User: xxx

->Temp folder emptied: 93728644 bytes

->Temporary Internet Files folder emptied: 568926053 bytes

->Java cache emptied: 159296 bytes

->Flash cache emptied: 95740 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56466 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56475 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 512000 bytes

%systemroot%\System32 .tmp files removed: 3229920 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 23307038 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68027 bytes

RecycleBin emptied: 15079968 bytes

 

Total Files Cleaned = 677,00 mb

 

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

Error: Unble to create default HOSTS file!

 

OTL by OldTimer - Version 3.2.69.0 log created on 01272013_010024
 

Files\Folders moved on Reboot...

C:\Users\xxx\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File\Folder C:\Users\xxx\AppData\Local\Temp\~DF0301D344FBCA3E1A.TMP not found!

File\Folder C:\Users\xxx\AppData\Local\Temp\~DF67D5E5B2F099AAB7.TMP not found!

File\Folder C:\Users\xxx\AppData\Local\Temp\~DFA2D530EAD59FC5E7.TMP not found!

File\Folder C:\Users\xxx\AppData\Local\Temp\~DFF58B72B9F915F448.TMP not found!

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BDMASAXN\129811-gvu-trojaner-windowsunlocker-bereits-erfolgreich-4[1].htm moved successfully.

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KY7GB80\log-analyse-auswertung[1].htm moved successfully.

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MBAM-log:

Code:



Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.01.27.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16438

xxx :: xxx-PC [Administrator]
 

27.01.2013 22:53:22

mbam-log-2013-01-27 (22-53-22).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 262109

Laufzeit: 2 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

und die ESET-log:

Code:



ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=8988815ea7a33e419b312ab91004de1d

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-27 09:51:50

# local_time=2013-01-27 10:51:50 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1799 16775165 100 96 40735 224746800 33521 0

# compatibility_mode=5893 16776574 100 94 3427237 110953360 0 0

# scanned=725985

# found=1

# cleaned=0

# scan_time=20197

C:\Program Files (x86)\Square Enix\Batman Arkham Asylum GOTY\Binaries\paul.dll        a variant of Win32/Packed.VMProtect.AAH trojan        4E1D845F88F6FC12D23C00CC568B58BC252B3DB3        I

Zitat:

C:\Program Files (x86)\Square Enix\Batman Arkham Asylum GOTY\Binaries\paul.dll

Soll was genau sein? Quelle dieser DLL?

Die Datei liegt in einem Verzeichnis eines Spiels, das mir ein Freund vor einiger Zeit mal ausgeliehen hatte. Seit damals war ich nicht mehr an den Dateien dran, ich habe vergessen, das Programm zu deinstallieren. Mir war und ist nicht bewußt, dass es sich dabei um eine illegale Kopie gehandelt haben könnte, da pass ich eigentlich auf. Falls das doch der Fall gewesen sein sollte, habe ich das jedenfalls nicht wissentlich getan. Wie werde ich die DLL ohne Rückstände denn los?

Keine Ahnung ob das ein Crack ist. In dubeo pro reo sag ich da jetzt mal :rolleyes:

Zitat:

Wie werde ich die DLL ohne Rückstände denn los?

Lösch doch einfach den ganzen Ordner :killpc: :D

O.K., Datei gelöscht, Spielreste deinstalliert. Was ist nun zu tun? Sonst hat ESET doch nix weiter gefunden, oder?

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo,

sorry, war ein paar Tage nicht zu Hause. Ich kann keine Auffälligkeiten mehr finden- vielen lieben Dank für Deine tolle Hilfe. Jetzt musst Du mir nur noch dabei helfen, wie ich die ganzen Einstellungen (defrogger etc.) wieder in den ursprünglichen Zustand zurücksetzen kann.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.