Hallo mein System war vom GVU Trojaner 2.07 gesperrt.

habe darauf mein System mit Malwarebytes gescant und die funde in die Quarantäne verbannt. ( 7x Trojan.0Accsess; 1x Trojan.Ransom.Gen; 1x Trojan.Delf; 1x Trojan.Dropper.BCMiner; 1x Trojan.Drop.GS)

danach nochmal mit SUPERAntiSpyware gescant keine Funde außer Track Coockie

habe jetzt nochmal mit OTL ein LOG erstellt und hoffe/Bitte um Hilfe ob das system nun auch wieder im reinen ist.

OTL.TXT

Code: Alles auswählenAufklappen

ATTFilter

[2012.04.16 23:45:34 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\MyPhoneExplorer
[2010.07.18 23:20:28 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\NationRed
[2011.10.04 22:25:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Navigram
[2010.12.13 21:32:15 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\OpenOffice.org
[2011.07.03 15:15:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Opera
[2010.09.21 00:18:46 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Outlook
[2010.05.24 01:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\PlayFirst
[2011.09.28 21:24:06 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ProtectDISC
[2011.08.17 11:41:01 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Simfy
[2010.02.03 19:22:22 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftDMA
[2011.10.18 16:22:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftGrid Client
[2012.08.20 22:15:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TeamViewer
[2010.11.18 23:45:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Template
[2011.07.22 22:54:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TomTom
[2011.10.18 14:33:55 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TP
[2012.05.15 20:02:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Tracker Software
[2011.04.03 13:20:30 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TweakNow RegCleaner 2011
[2010.12.28 00:35:59 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ViquaSoft
[2010.09.03 19:07:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Vodafone
[2010.12.27 18:37:04 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Win7codecs
[2012.01.12 19:28:50 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Windows Live Writer
[2012.01.08 15:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Wireshark
[2012.05.17 19:33:03 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\www.rene-zeidler.de
[2010.05.18 18:51:52 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ZombieDriver
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 98 bytes -> C:\ProgramData\Temp:66BBBB3E
@Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4769CB2A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

< End of report >
         

Extras.TXT

Code: Alles auswählenAufklappen

ATTFilter

 
[ System Events ]
Error - 04.10.2012 09:08:19 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" ist 
von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:29 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ithsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%577
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lilsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%577
 
Error - 04.10.2012 09:08:42 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IPsec-Richtlinien-Agent" ist von folgendem Dienst abhängig:
 BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:55 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:   %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:   %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:   %%-2147024891
 
 
< End of report >
         

Malewarebytes.TXT

Code: Alles auswählenAufklappen

ATTFilter

Kackstelze :: KACKSTELZEN-PC [Administrator]

01.10.2012 14:02:50
mbam-log-2012-10-01 (14-02-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492244
Laufzeit: 1 Stunde(n), 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> 1128 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000064.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2924732907-1533212913-4135081494-1000\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Local\Temp\WGSDGSDGDSGSD.EXE (Exploit.Drop.GS) -> Löschen bei Neustart.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Tausend dank schonmal im vorraus !!!

hi
malwarebytes öffnen, berichte, logs mit funden posten.

da hab ich doch das wichtigste log vergessen sorry.

so alle log´s angehängt.

hoffe das war so OK !!

hi
du hast das zero access rootkit.
wenn du onlinebanking machst, rufe die bank an, da sie zu hatt, notfall nummer:
116 116
onlinebanking wegen zero access rootkit sperren lassen.
da man dieses nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.