Trojaner-Board - GVU Trojaner (abgesicherter modus funktioniert nicht)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner (abgesicherter modus funktioniert nicht) (https://www.trojaner-board.de/138507-gvu-trojaner-abgesicherter-modus-funktioniert.html)

GVU Trojaner (abgesicherter modus funktioniert nicht)

Guten Abend zusammen!

Ich habe hier auf einem Laptop mit Betriebssystem Windows 7 den GVU Trojaner. Start im abgesicherten Modus ist nicht möglich.
Über einen Zweitrechner habe ich OTL heruntergeladen, auf einen USB-Stick gepackt und dann auf dem infizierten Rechner einen Scan durchgeführt.

Im Anhang findet ihr schonmal einen der beiden Logfiles. Der zweite ist mit 102kb zu groß :confused:

Ich wäre euch echt super dankbar wenn ihr mir jetzt weiterhelfen würdet.

Vielen Dank schonmal im Voraus

liebe Grüße
murmel89

:hallo:

zippen und an Beitrag anhaengen!

Dankeschön!

Dann hier der zweite Logfile.

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL
 

O20 - HKU\S-1-5-21-3165368748-3075268057-2645811329-1000 Winlogon: Shell - (C:\Users\celtic\AppData\Roaming\cache.dat) - C:\Users\celtic\AppData\Roaming\cache.dat () 

O31 - SafeBoot: UseAlternatShell - 1 

[2013.07.20 19:07:15 | 000,000,004 | ---- | M] () -- C:\Users\celtic\AppData\Roaming\cache.ini 

[2013.03.05 20:17:57 | 095,023,320 | ---- | C] () -- C:\ProgramData\6799462.pad 

[2013.03.05 20:18:00 | 000,002,757 | ---- | C] () -- C:\ProgramData\6799462.js 

[2013.03.05 20:18:00 | 000,000,153 | ---- | C] () -- C:\ProgramData\6799462.reg 

[2013.03.05 20:18:00 | 000,000,061 | ---- | C] () -- C:\ProgramData\6799462.bat 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\celtic\*.tmp

C:\Users\celtic\AppData\*.dll

C:\Users\celtic\AppData\*.exe

C:\Users\celtic\AppData\Local\Temp\*.exe

C:\Users\celtic\AppData\LocalLow\Sun\Java\Deployment\cache

ipconfig /flushdns /c

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

dann:

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

dann:
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Vielen lieben Dank.

Ich hab jetzt alles nach deiner Anleitung ausgeführt.
Im Anhang die drei Logfiles

Gruß Sabrina

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hat zwar was gedauert, aber hier sind die nächsten drei Logs:

aswMBR

Code:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software

Run date: 2013-07-23 18:49:12

-----------------------------

18:49:12.754    OS Version: Windows x64 6.1.7601 Service Pack 1

18:49:12.754    Number of processors: 4 586 0x2505

18:49:12.754    ComputerName: CELTIC-LAPTOP  UserName: celtic

18:49:14.283    Initialize success

18:51:10.474    AVAST engine defs: 13072300

18:51:27.182    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

18:51:27.182    Disk 0 Vendor: Hitachi_ PB3O Size: 305245MB BusType: 3

18:51:27.369    Disk 0 MBR read successfully

18:51:27.369    Disk 0 MBR scan

18:51:27.369    Disk 0 Windows 7 default MBR code

18:51:27.385    Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS          400 MB offset 2048

18:51:27.401    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       152622 MB offset 821248

18:51:27.416    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       152222 MB offset 313391104

18:51:27.806    Disk 0 scanning C:\Windows\system32\drivers

18:52:00.192    Service scanning

18:52:44.527    Modules scanning

18:52:44.527    Disk 0 trace - called modules:

18:52:44.558    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

18:52:45.089    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c6c060]

18:52:45.089    3 CLASSPNP.SYS[fffff88001ac043f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80049e4050]

18:52:50.268    AVAST engine scan C:\Windows

18:52:58.271    AVAST engine scan C:\Windows\system32

18:58:34.358    AVAST engine scan C:\Windows\system32\drivers

18:58:56.260    AVAST engine scan C:\Users\celtic

19:21:57.892    AVAST engine scan C:\ProgramData

19:25:25.747    Scan finished successfully

19:37:41.382    Disk 0 MBR has been saved successfully to "C:\Users\celtic\Desktop\MBR.dat"

19:37:41.397    The log file has been saved successfully to "C:\Users\celtic\Desktop\aswMBR.txt"

ESET

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=e2a833eba014af42a50d4d3f232caeb6

# engine=14506

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-07-23 07:23:25

# local_time=2013-07-23 09:23:25 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1799 16775165 100 98 50859 240030695 43627 0

# compatibility_mode=5893 16776573 100 94 0 126237255 0 0

# scanned=245143

# found=0

# cleaned=0

# scan_time=6177

checkup.txt

Code:

 Results of screen317's Security Check version 0.99.70  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 10  
 ``````````````Antivirus/Firewall Check:`````````````` 

Avira Desktop   

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 TuneUp Utilities 2013   

 TuneUp Utilities Language Pack (de-DE) 

 Java(TM) 6 Update 20  

 Java version out of Date! 

 Adobe Reader 9 Adobe Reader out of Date! 
 ````````Process Check: objlist.exe by Laurent````````  

 Avira Antivir avgnt.exe 

 Avira Antivir avguard.exe 

 BrowserDefender 2.6.1339.144 {c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8} BrowserDefender.exe 
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 25 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Nach dem update:

Zitat:

Browser nicht erkannt

Flash 11,1,102,55 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!

Java (1,7,0,25) ist aktuell.

Adobe Reader 11,0,0,0 ist aktuell.

Nach dem deaktivieren von Java

Zitat:

Browser nicht erkannt

Flash 11,1,102,55 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,0,0 ist aktuell.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.