Trojaner "LicenseValidator.exe"
 

Hallo zusammen,

ich hab seit gestern bemerkt, dass ich wohl einen oder mehreren Viren auf meinen PC habe. Bemerkbar hat er sich gemacht, indem ohne Vorwarnung einfach alle Anwendungen geschlossen wurden und das System heruntergefahren wurde. Mir kam es auch vor ein paar Tagen schon merkwürdig vor, dass ich von ebay einen Hinweis erhielt, dass mein ebay-Account gehackt wurde. Wurde aufgefordert, ein neues Passwort zu vergeben.

Ich hab gestern diverse Scans durchgeführt, s. u.a. folgende Logs von Malwarebytes:
Hier das erste Log von gestern:
Nachdem ich mit Avira Antivir gescannt hab und weitere diverse Entferneungstools (CCLeaner, Malwarebytes, AdAware) drüberlaufen hab lassen, war das Log erst sauber, später fand er wieder was:
Ich hab heute eine Systemwiederherstellung mit dem ältestmöglichen Datum (14.06.) durchgeführt und danach wieder gescannt. Leider fand er wieder was:
Nach Löschung ist es derzeit wieder sauber, allerdings hab ich irgendwie die Befürchtung, dass sich der Virus wieder archiviert. Es liegt wohl an der Datei/Virus "LicenseValidator.exe" der sich ständig an neuer Stelle aktiviert.

Hab als Anhang noch das aktuelle OTL-Log beigefügt.

Kann mir jemand helfen, wie ich den Virus dauerhaft loswerde, möglichst ohne das System neu aufzusetzen?!

Vielen vielen Dank schon mal vorab.

Gruß

Max

:hallo:


Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t´john,

vielen Dank für Deine Antwort.

Hier das OTL-Log:

Was heißt das nun?

Außerdem hab ich festgestellt, dass sich seit dem Fix Outlook nicht mehr öffnen lässt. Er findet die Datei "Outlook.pst" nicht mehr.
Woran liegt das? Gibt es eine Möglichkeit dies wieder rückgängig zu machen? Hab von meiner Outlook.pst leider keine Sicherung!!! :-(

Vielen Dank schon mal vorab.

Gruß

Max

Alles was OTL gemacht hat ist hier zu finden: C:\_OTL\MovedFiles\

Aber mi PST Dateien von Outlook hat OTL nichts zu tun.

Hast du einen aelteren Systemwiederherstellungspunkt?

Ja, hätte ich schon. Der älteste Zeitpunkt ist vom 14.06.2012.

Aber wird dadurch die PST-Datei wieder hergestellt?

Und was ist mit den Viren? Ist mein System jetzt sauber? Was ist, wenn ich die Systemwiederherstellung mache? Werden die Viren dann nicht wieder aktiv??

Thx

Gruß

Max

Versuche mit Recuva Download - Recuva 1.43.623 die Datei zu finden.

Wenn Du sie gefunden hast, machen wir weiter.

Danke für den Tip. Leider hat er die Datei outlook.pst oder archive.pst nicht gefinden! :-(((

Und nu???

Gibts wohl keine Chance mehr oder?

Du kannst versuchen jetzt einen Wiederherstellungspunkt zu erzeugen und auf einen alten zuruecksetzen.

Die Datei kopieren und wieder zurueckzusetzen.

Aber waere die Datei vor kurzen erst geloescht worden, haette sie Recuva gefunden.

Wie lautet der Pfad zu der PST Datei?

Aber durch die Systemrücksetzungen zu einem früheren Wiederherstellungszeitpunkt wird doch auch die pst-Datei nicht wieder erstellt/gefunden oder??

Die war definitiv vor kurzem noch da, da ich gestern ja noch drin war in Outlook, bevor ich den FIX mit OTL machte.
Komisch ist aber auch, dass ich über die Suche, die Emails von der nicht mehr auffindbaren pst-Datei finde. Also wenn ich z.B. nen Suchbegriff eingeb "Müller" findet er Emails, die z.B. an den Müller schickte.
Name "Alles Gute zum Geburtstag", Änderungsdatum "10.07.2012", Ordner "Gesendete Objekte (Persönliche Ordner)".
Ich kann die Email aber nicht öffnen und ich nicht in Outlook reinziehen. Hier kommt dann der Fehlerhinweis "Die Elemente können nicht kopiert werden. Das System kann die angegebene Datei nicht finden".

Komisch...

Der Pfad, wo sich die .pst-Datei befand lautet:
C:\Users\HP\AppData\Local\Microsoft\Outlook

Hast du einen Virenscanner, der auch Mails ueberwacht?

Hab Antivir. Und der Mail-Schutz ist/war nicht aktiviert...

Kannst noch mit http://www.trojaner-board.de/115496-...erstellen.html schauen ob eine Aeltere Version vom Verzeichnis da ist.

Hey t'john!!!
Du bist der Wahnsinn!!! :applaus::applaus:
Genau das wars... ShadowExplorer fand ältere Versionen meiner "Outlook.pst". Hab sie wiederherstellen könnne!

Echt ein Spitzentip.

Vielen vielen Dank für deine schnelle und sehr kompetente Hilfe! :abklatsch:

:dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen:

Ich hoff, jetzt läuft alles fehler- und virenfrei!!

Gruß

Max

Super! :daumenhoc

Jetzt fangen wir an:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo t'john,

hier das Malwarebyte-Log:
und hier das Log von AdwCleaner:

Hab die Registryeinträge noch nicht entfernt mit AdwCleaner. Soll ich das tun? Sind ja ne Menge fehlerhafter Einträge oder?

Gruß

Max