Hallo Leute,
der GEMA Trojaner hat mein ÜC erwischt. Könnt Ihr mir bitte helfen.
Die Logdateien habe ich angehängt.
Danke.

Zitat:

Boot Mode: SafeMode with Networking |

Wenn dieser Modus funktioniert, kannst du erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hier die beiden gewünschten Logs

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.31.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Administrator :: XP-INTERNET [Administrator]

01.09.2012 15:22:32
mbam-log-2012-09-01 (15-52-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 257046
Laufzeit: 28 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Temp\roper0dun.exe (Exploit.Drop.GS) -> Keine Aktion durchgeführt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f9c8fe937edb204fb11917ea4d325828
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-01 03:01:42
# local_time=2012-09-01 05:01:42 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 27500827 27500827 0 0
# compatibility_mode=8192 67108863 100 0 263 263 0 0
# scanned=60988
# found=8
# cleaned=0
# scan_time=3594
C:\Dokumente und Einstellungen\Eckenroth\Anwendungsdaten\1.exe	a variant of Win32/LockScreen.AML trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5p8zlkxz.default\Cache\5\E8\64042d01	JS/Kryptik.VM trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\7d8a5843-4a511123	a variant of Win32/Kryptik.ALBV trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\625f7870-3b58f6b2	a variant of Java/Exploit.CVE-2012-4681.F trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Temp\asdasd.exe	a variant of Win32/LockScreen.AML trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Temp\jar_cache7826934185479052341.tmp	Java/Exploit.CVE-2012-4681.H trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Temp\jar_cache9105037398989049676.tmp	Java/Exploit.CVE-2012-4681.H trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Eckenroth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\67RH7VHU\JDownloaderSetup_CH4[1].exe	a variant of Win32/InstallCore.AQ application (unable to clean)	00000000000000000000000000000000	I
         

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! Bitte nachholen falls noch nicht getan!

NICHTS voreilig aus der Quarantäne löschen!

Ich habe alle drei Stück entfern und bin immer noch im abgesicherten Modus. Ich hoffe es war richtig es hier zu machen.
Wie geht es nun weitere ?

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Nein ich habe nicht mehrere Logs. Ich habe mich hier leider etwas unglücklich ausgedrückt. Ich wollte eigentlich nur sagen das ich das entfernen im Abgesicherten Modus gemacht habe und ich mich bis jetzt noch nicht getraut habe normal zu booten und hoffe das es so richtig war.

Was muss ich nun als nächstes machen ?

Tanja

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier der gewünsche Log

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 09/05/2012 at 08:18:04
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Administrator - XP-INTERNET
# Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****

Found : WajamUpdater

***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\Eckenroth\Startmenü\Programme\Wajam
Folder Found : C:\Programme\Wajam

***** [Registry] *****

Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Key Found : HKLM\SOFTWARE\Wajam

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Key Found : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [1789 octets] - [01/09/2012 09:53:21]
AdwCleaner[R2].txt - [1849 octets] - [01/09/2012 09:53:48]
AdwCleaner[R3].txt - [1909 octets] - [02/09/2012 08:45:40]
AdwCleaner[R4].txt - [1969 octets] - [02/09/2012 15:44:01]
AdwCleaner[R5].txt - [2141 octets] - [02/09/2012 16:22:32]
AdwCleaner[R6].txt - [2072 octets] - [05/09/2012 08:18:04]

########## EOF - C:\AdwCleaner[R6].txt - [2200 octets] ##########
         

Was soll das? Ich hab extra einen Link zum adwCleaner mitgegeben - du hast die alte Version aber offensichtlich von woanders geladen!

Ich habe es genau nach Deiner Anweisung gemacht da ich nicht möchte das mein Rechner evntuell durch ein Fehler zerstört wird. Bei mir heißt die Datei jedoch anscheinend anders. Ich vermute ich muss Dir den Log von dieser Datei schicken "C:\AdwCleaner[R7].txt" oder ?

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.000 - Datei am 05/09/2012 um 08:20:39 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Administrator - XP-INTERNET
# Normaler Modus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****

Gefunden : WajamUpdater

***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Dokumente und Einstellungen\Eckenroth\Startmenü\Programme\Wajam
Ordner Gefunden : C:\Programme\Wajam

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Schlüssel Gefunden : HKLM\Software\Wajam

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1789 octets] - [01/09/2012 09:53:21]
AdwCleaner[R2].txt - [1849 octets] - [01/09/2012 09:53:48]
AdwCleaner[R3].txt - [1909 octets] - [02/09/2012 08:45:40]
AdwCleaner[R4].txt - [1969 octets] - [02/09/2012 15:44:01]
AdwCleaner[R5].txt - [2141 octets] - [02/09/2012 16:22:32]
AdwCleaner[R6].txt - [2201 octets] - [05/09/2012 08:18:04]
AdwCleaner[R7].txt - [2432 octets] - [05/09/2012 08:20:39]

########## EOF - C:\AdwCleaner[R7].txt - [2492 octets] ##########
         

Natürlich zählt der adwCleaner sein Log immer weiter hoch! Die Anleitung geht davon aus, dass zum ersten Mal der adwCleaner benutzt wird - selbstverständlich solltest du auch sinnigerweise das Log posten was duch den angeforderten Vorgang erstellt wurde und nicht irgendwas anderes

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt ( x=fortlaufende Nummer )

Nach dem Neustart hat sich die Datei nicht automatisch geöffnet, jedoch konnte ich die Datei anhand von Deinen Angaben finden. Hier ist der Inhalt

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.000 - Datei am 09/05/2012 um 17:16:21 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Administrator - XP-INTERNET
# Normaler Modus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : WajamUpdater

***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\Eckenroth\Startmenü\Programme\Wajam
Ordner Gelöscht : C:\Programme\Wajam

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Schlüssel Gelöscht : HKLM\Software\Wajam

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[R1].txt - [1789 octets] - [01/09/2012 09:53:21]
AdwCleaner[R2].txt - [1849 octets] - [01/09/2012 09:53:48]
AdwCleaner[R3].txt - [1909 octets] - [02/09/2012 08:45:40]
AdwCleaner[R4].txt - [1969 octets] - [02/09/2012 15:44:01]
AdwCleaner[R5].txt - [2141 octets] - [02/09/2012 16:22:32]
AdwCleaner[R6].txt - [2201 octets] - [05/09/2012 08:18:04]
AdwCleaner[R7].txt - [2561 octets] - [05/09/2012 16:00:39]
AdwCleaner[S1].txt - [2847 octets] - [05/09/2012 17:16:21]

########## EOF - C:\AdwCleaner[S1].txt - [2907 octets] ##########
         

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Normal zu starten hatte ich noch nicht versucht. Dieses habe ich nun gemacht und der Trojaner ist noch vorhanden.