Liebes Helfer-Team,

leider habe hat sich mein PC mit dem GVG-Trojaner infiziert. Jetzt bin ich mir nicht ganz sicher, wie ich weiter vorgehen soll. Reicht es, wenn ich den Bericht vom Anti-Malware-Programm hier poste? Oder braucht man zur vollständigen Löschung noch andere Informationen?

Hier ist schonmal der Bericht:



Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.07.13

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
*** :: PC-KATHARINA [Administrator]

Schutz: Aktiviert

11.09.2012 18:09:56
mbam-log-2012-09-11 (18-09-56).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 202499
Laufzeit: 5 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Vielen Dank schonmal für die Internetseite Trojaner-Board und für Eure Hilfe. Das hat mir bis jetzt schon sehr weitergeholfen

Liebe Grüße,
Kati

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NDAY11XP\41dad[1].pdf	JS/Exploit.Pdfka.PPO trojan
C:\Users\***\AppData\Local\Temp\V.class	probably a variant of Java/Exploit.CVE-2011-3544.BQ trojan
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\219ae30c-38c4a6dd	Java/Exploit.CVE-2012-4681.F trojan
C:\Users\***\Desktop\Unterlagen ***\Alte Frestplatte\Downloads\SoftonicDownloader_fuer_freepdf.exe	a variant of Win32/SoftonicDownloader.A application
         

Lieber Helfer,

hier ist das Log-file. Vielen Dank schonmal.

Lieben Gruß, Kati

Vollscan mit Malwarebytes vergessen?

Der Vollscan von Malwarebytes ist Folgender:




Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
*** :: PC-KATHARINA [Administrator]

Schutz: Aktiviert

24.09.2012 17:04:15
mbam-log-2012-09-24 (17-04-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333329
Laufzeit: 46 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich hab vorher Java von meinem PC deinstalliert und Avira hat zwei Viren entdeckt, welche ich entfernt habe. Könnte es sein, dass ich den Virus dann schon los bin? Lieben Gruß

Zitat:

und Avira hat zwei Viren entdeckt, welche ich entfernt habe. Könnte es sein, dass ich den Virus dann schon los bin? Lieben Gruß

Wie soll man das beantworten können wenn du nicht postest was wo genau gefunden wurde?!
Bitte das Log von AntIVir posten!

Tschuldigung, hier sind die Logs von AntiVir:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NDAY11XP\41dad[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pdfjsc.RM.40' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55d1c694.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\AEPB7GKE\main[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'EXP/JS.Expack.V' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5577c759.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NDAY11XP\41dad[1].pdf'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pdfjsc.RM.40' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\AEPB7GKE\main[1].htm'
wurde ein Virus oder unerwünschtes Programm 'EXP/JS.Expack.V' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         

Ist nur im Browserchache, wird nachher geleert

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hi Cosinus,

hier ist der Log vom adwcleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.003 - Datei am 09/29/2012 um 19:02:27 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium  (64 bits)
# Benutzer : *** - PC-KATHARINA
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Program Files (x86)\Mozilla Firefox\.autoreg

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Softonic

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v4.0.1 (de)

Profilname : default 
Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\f1i0cxyo.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [884 octets] - [29/09/2012 19:02:27]

########## EOF - C:\AdwCleaner[R1].txt - [943 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Lieber Cosinus,

hier ist der Bericht des adw-cleaners:



# AdwCleaner v2.005 - Datei am 25/10/2012 um 17:24:18 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium (64 bits)
# Benutzer : *** - PC-KATHARINA
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SSDLW0XB\AdwCleaner2005.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v4.0.1 (de)

Profilname : default
Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\f1i0cxyo.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1607 octets] - [25/10/2012 17:19:00]
AdwCleaner[R2].txt - [1032 octets] - [25/10/2012 17:23:58]
AdwCleaner[S2].txt - [967 octets] - [25/10/2012 17:24:18]

########## EOF - C:\AdwCleaner[S2].txt - [1026 octets] ##########

Mach bitte einen CustomScan mit OTL . Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread