GVU-Trojaner und keine Ahnung...
 

... ... wie nun weiter.
Hallo, ich habe mich schon durch einige Beiträge mit dem gleichen Trojaner durchgelesen, aber ich komme trotzdem nicht weiter.
Seit 2 Tagen hat sich nun auch auf meinem Netbook dieser Trojaner breit gemacht. Wenn ich aber hartnäckig bleibe und mein Netbook mehrmals starte, komme ich doch irgendwann ins Internet.

Ich weiß nun aber nicht, wie ich irgendwelche Logs oder ein Sample oder sowas anlege...

Mittlerweile bin ich ein Stück weiter, Dank der wirklich ausführlichen Beschreibung hier in den Foren und der Schritt für Schritt Anweisungen. Mein Netbook startet zumindest wieder. Wenn ich das aber richtig gedeutet habe, ist mein Problem damit noch nicht behoben?

Ich habe das Anti-Malware-Programm durchlaufen lassen und dies ist das Ergebnis:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.03.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Anja :: ANJANARVIK [Administrator]

Schutz: Aktiviert

03.04.2013 09:47:53
mbam-log-2013-04-03 (09-47-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237980
Laufzeit: 21 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon.exe (Trojan.Agent.Gen) -> Daten: C:\DOKUME~1\ALLUSE~1\ANWEND~1\rundll32.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\fo3to8.dat,FG00 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fo3to8.dat (Trojan.Agent.NR) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Wie geht es nun weiter?
Liebe Grüße und jetzt schon mal Danke für die Hilfe
Anja

Hallo Anja ich bin smeenk und ich werde versuchen dir mit deinem Problem zu helfen :)

Ich möchte gerne einige Logfiles von dir empfangen ;)

Schritt 1

Bitte lade dir ZOEK auf deinen Desktop und starte es.
Falls ihre virenscanner reklamiert kannst du das ignorieren, unsere tools werden öfter falsch angezeigt.

• Klicke auf Options
• Hake an: Firefox Look
• Hake an: Chrome Look
• Hake an: Recently Created
• Hake an: Auto Clean
• Klicke auf Run Script und warte bis das Programm durchgelaufen ist.
• Am Ende erstellt es ein Logfile (auch hier: c:\zoek-results.txt)

Poste mir dieses Logfile.


Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von zoek
• Logs von OTL

Bitte alles nach Möglichkeit hier in CODE-Tags posten :abklatsch:

Hallo smeenk,
vielen Dank für deine Antwort, werde mich gleich ran machen.
Frage mich zwar, was CODE-Tags sind, aber ich schau mal, was mir die beiden Programme auswerfen ;-)

ZOEK nach vielen Versuchen endlich auf dem Desktop installiert bekommen, aber es startet nicht :-(
Wenn ich auf Run Script klicke, kommt Internet Explorer Scriptfehler
...
URL: file:///C:/DOKUME~1/Anja/LOKALE~1/Temp/zoek.hta

Frage, ob das Script weiterhin ausgeführt werden soll, beantworte ich mit Ja, aber nix passiert

Code tags kann man so machen:
[code] Logfile hier [/code] :)

Rechner mal neu starten und nochmals versuchen ;)

Hmmm,
nun läuft das schon fast seit einer Stunde, aber ich habe den Eindruck, dass sich da nix tut. Auch wenn da steht:

Zoek.exe is running now.
Do not start any browser windows, they will be closed automatically.
Please wait! This window will close when finished.
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log

Wie lange dauert das denn so im Schnitt?

Kuck mal C:\zoek-results.log nach ob da schon etwas drin ist und poste es mir ;)

Aber das ist vermutlich nicht das, was du erwartet hast?
Ich bekomme leider noch nicht mal mehr das Programm gestartet, ich werf gleich mein Netbook aus dem Fenster...

Nicht ganz was ich erwartet hatte :(

Mach weiter mit OTL, wenn du Zoek nicht runterfahren kannst dein Computer neustarten :)

Es tut sich was... Ich muss anscheinend nur hartnäckig genug sein. Installieren, deinstallieren... neustarten... Aber im Log steht was. Allerdings weiß ich nicht, ob der fertig ist...
Wollte mal grade in alten Postings nur schauen, ob die Einträge irgendwie ein einheitliches Ende haben ;-)

Du bist ganz große Klasse! :taenzer:

Mach mal ein Neustart und mach dann Schritt 2: OTL ;)

OTL.Txt-Editor:

Extras.Txt-Editor:
Soo, beide Schritte erledigt :killpc:

Neee, du!!! :applaus:
Schritt 2 aucvh erledigt. Mein Netbook ist nur extrem langsam (oder ich zu ungeduldig)

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von OTL

Hallo smeenk,
ich wollte nur ein kurzes Lebenszeichen geben, nicht dass du denkst, ich habe es geschafft und bin einfach so weg.
Nachdem ich gestern Abend das ganze versucht habe, musste ich dann doch in der Nacht mein Netbook ausschalten, weil ich schlafen wollte. Nun läuft das Teil seit heute morgen 7 Uhr, aber es passiert einfach nüscht. Ich kann mir nicht vorstellen, dass das sooo lange dauert. Der Quick Scan ging ja doch relativ fix.
Falls es doch soooo lange dauern sollte, bitte mal kurz Bescheid geben, dann warte ich noch. Ansonsten würde ich alles abbrechen und das Spiel mit der Neuinstallation wieder beginnen.
LG Anja

Breche den Scan mit OTL einfach ab, wir können es auch mit Zoek.exe versuchen :)


Öffne nochmal ZOEK und kopiere untenstehende Code in das Textfeld:

Drucke "Run Script".

Poste mir das Logfile.

Hab ich gemacht, aber wie immer ist nicht zu erkennen, ob das Programm überhaupt arbeitet. Wenn ich auf Run klicke, kommt wieder die Fehlermeldung, das im Script ein Fehler aufgetreten ist. Also erst mal abwarten und Tee trinken...
Muss ich eigentlich unter Optionen wieder Haken machen???

Nur der text bei Code: reinkopieren und "Run Script" wählen ;)

Du kannst versuchen Zoek.exe im abgesicherten Modus (Safe Mode) zu starten:

Wie starte ich meinen Computer im abgesicherten Modus (Safe Mode)?

wenn man den abgesicherten Modus mit Netzwerktreibern wählt hat man Zugriff auf das Internet.

:heulen: :heulen:
Ich glaube, ich geb's auf und hol mir 'nen neuen :aufsmaul:
Hab es im abgesicherten Modus versucht, mit und ohne Netzwerkzugriff. Aber sobald das Teil hochgefahren ist und ich wählen kann, ob ich mich als Admin oder als ICH anmelden will, fährt der einach wieder runter und aus ist der Kasten :koch:

Man, langsam verzweifel ich hier. Liegt es doch an meiner Haarfarbe?

Die haarfarbe wird es nicht sein, ich bin auch blond ;)

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ui, das ging ja diesmal fix. Sollte zwar noch irgendwas installieren, aber das ging dann auch von alleine. Hier nun der Log (oder das?)

Danke übrigens für deine Geduld, ich besitze sowas ja leider gar nicht :pfeiff:

Geduld kann man lernen ;)

Es erfreut mich das da endlich mal wieder etwas lauft :p

Wir machen weiter:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

:applaus: Es geht voran :taenzer:

Wenn wir mit dem ganzen hier fertig sind, würde ich Geduld üben lernen :singsing:

Adwcleaner hat noch vieles rausgeholt :D

Das warten beim computer bis die tools endlich mal absolvieren ist eine grosse Pruefung :p

Nachste tool:

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Mach ich doch glatt ;-)

PS: die Fehlermeldungen beim Starten und Abmelden von Windows haben sich glaube ich auf Null minimiert - das ist doch auch schon mal ein Erfolg ;-)

Das Log von Tdsskiller ist sauber :daumenhoc

Schluss für heute meine Augen fangen an zu schließen :sleepy:

Du kannst Combofix umbenennen nach Uninstall.exe
Wenn du den Uninstall.exe Doppelklickst wird hoffentlich gemeldet das Combofix deinstalliert wuerde.

Bis morgen :)

Gute Nacht und schlaf gut. Ich werde das auch versuchen.

Wie läuft der Rechner jetzt?

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.


Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von SecurityCheck

Guten Morgen,
tja, wie läufts? Ich habe den Eindruck, alles seeeeehhhhhr langsam.
Mein Maus spinnt auch, aber das hat sicher weniger mit dem Trojaner zu tun?

Combofix ist deinstalliert, das klappte heute morgen beim 3. Versuch.

Bevor ich deine weiteren Ausführungen ausführen wollte, habe ich einen Neustart gemacht (dachte, dass das Teil dann vielleicht schneller läuft). Das Starten klappte erst nach unzähligen Versuchen. Bevor das Windows-Logo kam, hat sich das Netbook einfach ausgeschaltet. Es ging weder im abgesicherten Modus, noch in normalen...
Aber ich bin hartnäckig geblieben und dann ging es irgendwann auf einmal.
Hoffe, dass ich mit den nächsten Schritten schnellen Erfolg habe. Bis später

OTL.exe hängt sich immer wieder auf :killpc:
Gibt es noch eine andere Möglichkeit?
Ich bleibe aber erst mal dran, vielleicht klappt es ja doch

Das hört sich nicht gut an, ich dachte wir haben viel erreicht :(

Du kannst noch mal der "Quick Scan" mit OTL machen und mir das Log senden.
Vielleicht das da doch irgendwo noch etwas falsches zu sehen ist :wtf:
Ehrlich gesagt fürchte ich dass es zu eine neuinstallation führen wird.

Ok - machen wir eine Neuinstallation :killpc:

Scan funktioniert nicht

Ich geh mal nen USB-Stick suchen

Leider nicht den erhofften Erfolg :(

Hoffen wir das Neuinstallation die gesuchte Lösung ist :abklatsch:

Geht für die Sicherung auch eine Speicherkarte? USB-Stick ist nicht im Haus

Ich denke schon wenn er groß genug ist? :)

16 GB, größeren Stick hätte ich auch nicht
Hilfst du mir wieder???

Neuinstallation ist ehrlich gesagt nicht mein ding.
vielleicht besser zu anderen übergeben:
http://www.trojaner-board.de/alles-rund-um-windows/

Lach - meins auch nicht :crazy:
Dann sag ich trotzdem bis hierher schon mal :dankeschoen:
War sehr nettmit dir

Ich habe dir gerne geholfen und Wünsche dir Alles Gute und weiterhin viel Erfolg mit den Neuinstallation :daumenhoc

Grüße
Smeenk