Trojaner-Board - GVU (wahrscheinlich 2.10), WinXp Sp3, lediglich Abgesicherter Modus mit Eingabeauf. möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU (wahrscheinlich 2.10), WinXp Sp3, lediglich Abgesicherter Modus mit Eingabeauf. möglich (https://www.trojaner-board.de/128779-gvu-wahrscheinlich-2-10-winxp-sp3-lediglich-abgesicherter-modus-eingabeauf-moeglich.html)

GVU (wahrscheinlich 2.10), WinXp Sp3, lediglich Abgesicherter Modus mit Eingabeauf. möglich

Hallo liebe Community,

und zwar habe ich ein großes Problem mit dem im Titel beschriebenden Trojaner.

Nach längeren Hin und Her war es mir nun Möglich, endlich den Abgesicherten Modus mit Eingabe zu starten.

Habe die von Euch gewünschten Scans durchgeführt. Hier die Resultate, als Anhang.

Malwarebytes Anti-Malware, auch wenn da keine Aktion durchgeführt steht, habe ich die Datei in die Quarantaine verschoben. Kommt aber nach Neustart des Pc wieder :(

Defogger lief auch und hat die Laufwerke beendet.
Habe auch die Srep durchlaufen lassen und hänge das Ergebnis an.

Ich danke euch für eure Hilfe und freue mich auf eine Antwort :)

Mit freundlichen Grüßen

Danny Kl.

---Update----

Habe nun endlich geschafft auf mein System zu zugreifen, indem ich es geschafft habe die wsgds......dll zu löschen, sowie die RegestryAnwendung "runctf.lnk" aus dem Startup zu entfernen. Habe danach nochmals OTL und MBAM laufen lassen. Die neuen Ergebnisse hänge ich auch an mit dem Zusatz "Update". Da ich OTL nun auch, wie erwünscht, vom Desktop starten konnte und MBAM neu updaten konnte.

Mit freundlichen Grüßen

Danny Kl.

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

 

SRV - (winmgmt) -- C:\DOKUME~1\DARKTE~1\wgsdgsdgdsgsd.dll File not found 

[2012.12.29 01:15:06 | 000,002,985 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js 
 

:Files

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\DarkTemplar\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\*.tmp

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Temp\*.exe

C:\Dokumente und Einstellungen\DarkTemplar\*.exe

C:\Dokumente und Einstellungen\DarkTemplar\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo T'John,

so habe nun nach deinen Anweisungen gehandelt und gebe dir nun die Ergebnisse durch.

Hier der Report von OTL Fix

Code:

All processes killed

========== OTL ==========

Service winmgmt stopped successfully!

Service winmgmt deleted successfully!

File  C:\DOKUME~1\DARKTE~1\wgsdgsdgdsgsd.dll File not found not found.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js moved successfully.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.

File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\DarkTemplar\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Temp\jre-7u10-windows-i586-iftw.exe moved successfully.

File\Folder C:\Dokumente und Einstellungen\DarkTemplar\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\DarkTemplar\Startmenü\Programme\Autostart\ctfmon.lnk not found.

File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\DarkTemplar\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\DarkTemplar\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: DarkTemplar

->Temp folder emptied: 652316 bytes

->Temporary Internet Files folder emptied: 1088289 bytes

->FireFox cache emptied: 137528110 bytes

->Flash cache emptied: 23896 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352202 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3522834 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 139,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 12302012_010239
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

----------------------------------

Hier das Ergebnis vom Anti Rootkit, der schon gar keine Malware mehr gefunden hat.

Code:

Malwarebytes Anti-Rootkit 1.01.0.1011

www.malwarebytes.org
 

Database version: v2012.12.29.11
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

DarkTemplar :: LONESTAR [administrator]
 

30.12.2012 01:12:23

mbar-log-2012-12-30 (01-12-23).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 24443

Time elapsed: 3 minute(s), 23 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

----------------------

Und zu guter Letzt das Ergebnis von AdwCleaner

Code:

# AdwCleaner v2.104 - Datei am 30/12/2012 um 01:14:51 erstellt

# Aktualisiert am 29/12/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : DarkTemplar - LONESTAR

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\DarkTemplar\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v7.0.6000.16791
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [598 octets] - [30/12/2012 01:14:51]
 

########## EOF - C:\AdwCleaner[S1].txt - [657 octets] ##########

Mit freundlichen Grüßen

Danny Kl.

Sehr gut! :daumenhoc

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo T'john,

so nun habe ich auch den ESET Online Scanner durchlaufen lassen und hier das Ergebnis:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6844

# api_version=3.0.2

# EOSSerial=0017a1aac1ffe54abb7f6a44ce451c35

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-12-30 06:54:18

# local_time=2012-12-30 07:54:18 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# scanned=112933

# found=4

# cleaned=4

# scan_time=6136

C:\Dokumente und Einstellungen\DarkTemplar\Eigene Dateien\Downloads\vlc-2.0.3-win32.exe        Win32/StartPage.OPH trojan (cleaned by deleting - quarantined)        45FCE453799F5C9325959AC55FFD442A714AD0DC        C

C:\_OTL\MovedFiles\12302012_010239\C_Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\1ede2ede-7a2cb37d        a variant of Win32/Kryptik.ARIS trojan (cleaned by deleting - quarantined)        A257DE1976AA2CAA7D2734440B9131F0C531C2DC        C

C:\_OTL\MovedFiles\12302012_010239\C_Dokumente und Einstellungen\DarkTemplar\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\3e4a3fe0-674c401e        Java/Agent.FH trojan (cleaned by deleting - quarantined)        5D83DCF74FABC5A777F39B3BAA61C355FF28F6D8        C

H:\Eigene Dateien\Downloads\vlc-2.0.3-win32.exe        Win32/StartPage.OPH trojan (cleaned by deleting - quarantined)        45FCE453799F5C9325959AC55FFD442A714AD0DC        C

Soweit ich das richtig interpretiere waren die Trojaner ja eh schon von OTL gefunden und verschoben. Nun sind diese noch Mal verschoben :)
Ist es denn bekannt, dass der Scanner auf die VLC Installationsdatei anspringt oder war es nun wirklich ein Trojaner? Hat man ja manchmal, dass manche Scanner auf "harmlose" Installationsdateien anspringen oder zumindest war es früher Mal so.

Mit freundlichen Grüßen

Danny Kl.

Zitat:

Ist es denn bekannt, dass der Scanner auf die VLC Installationsdatei anspringt oder war es nun wirklich ein Trojaner? Hat man ja manchmal, dass manche Scanner auf "harmlose" Installationsdateien anspringen oder zumindest war es früher Mal so.

Harmlos?
Du hast dir eine manipulierte Version heruntergeladen von VLC*de

Das ist nicht die Originalseite, sondern VideoLAN - VLC: Official site - Free multimedia solutions for all OS!

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 10 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hallo T'John,

hmm eigentlich bin ich mir relativ sicher, dass ich die nicht daher habe, sondern von Chip.de. Merkwürdig. Ja ist mir aufgefallen, dass die manipuliert war, hatte das aber ohne größere Probleme deinstalliert bekommen, diese Startseite etc.
Naja zurück zum Thema.

Erster Check:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 17.0 ist aktuell

Flash (11,5,502,135) ist aktuell.

Java (1,7,0,10) ist aktuell.

Adobe Reader 11,0,0,379 ist aktuell.

Und wie zu erwarten beim zweiten Check:

Firefox 17.0 ist aktuell

Flash (11,5,502,135) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 11,0,0,379 ist aktuell.

So Update eingestellt und durchlaufen lassen.

Mit freundlichen Grüßen

Danny Kl.

P.S.
Dir noch einen guten Rutsch und gute letzte Stunden in 2012!

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Hallo T'John,

so die letzten Punkte nun auch abgearbeitet.
Ich danke dir natürlich besonders, aber auch der Crew dieser Seite.
Schade, dass man von solch super Projekten immer erst erfährt, wenn es denn dann schon zu spät ist :)
Noch Mal Hut ab vor eurer Arbeit, die ihr euch macht!

Ich wünsche euch allen einen guten Rutsch!

Mit freundlichen Grüßen

Danny Kl

wir wuenschen einen guten Rutsch und virenfreie Zeit ;)