Hallo Ihr "gelben -Engel" vom Trojaner-Board,

kurz Vorweg:
Ich habe Win 7 32Bit, welches überwiegend verwendet wird (Freundin/ Bekannte die schnell was im Internet schauen wollen, etc.)

Auf einer anderen Festplatte habe ich Win 7 64Bit, welches nur ich verwende für Onlinebanking und zum spielen.

Auf der selben Festplatte wie Win 7 64Bit, befindet sich zusätzlich Ubuntu, welches ich für meine Uni benötige.

Am 19.12. surfte meine Freundin im Internet, als plötzlich der Rechner "gesperrt" wurde vom GVU Trojaner.

Ich habe daraufhin den Rechner vom I-net getrennt und den Rechner mit der "Kaspersky Rescue 10" -CD gebootet. Erst dann habe ich die I-net Verbindung wieder hergestellt, die Rescue 10 geupdatet und sofort einen vollständigen Scan durchgeführt.
Wenn ich mich recht erinnere, ergab der Scan um die 75 Funde, die ich teilweise "desinfizieren" konnte, u.a. mehrere Java Dateien. -Teilweise, weil beim desinfizieren plötzlich einige Funde nicht mehr auffindbar waren.

Ich habe dann einen Neustart durchgeführt und Win 7 32Bit gestartet. Die Sperrung war aufgehoben. -Es gab aber nach jedem Neustart eine Fehlermeldung der Rundll (bis ich in der Msconfig den Haken dafür entfernt habe) und wenn ich den Rechner herunter fahren möchte, zeigt er an das ein Programm beendet wird und das Herunterfahren "erzwungen" wird - Es steht dort aber nicht welches Programm das sein soll.
Dennoch habe ich danach direkt noch einmal einen kompletten Scan von der Rescue 10 -CD aus gestartet, der aber ohne Funde verlief.

Ich habe daraufhin trotzdem mein Avira deinstalliert und mir erstmal eine Testversion von Kaspersky Internet Security 2013 installiert.

Heute (26.12.) sind mir ein paar merkwürdige und beunruhigende Dinge aufgefallen:

- auf der Voransicht meiner Bilder, sind bei einigen ein "Vorhängeschloss" in der Ecke (ähnlich die das "Admin"-Symbol z.B. an der OLT.exe)
- es ist nicht möglich, selbst nach deaktivierung der Firewall von Kaspersky IS13, die Windows-Firewall zu aktivieren. (In der MsConfig ist sie aber als "wird ausgeführt" makiert)
- Der Rechner startet Win 7 32Bit nur vernünftig, wenn ich den Rechner vom I-net getrennt habe, ansonsten hängt er sich sozusagen auf, bis mein Desktop verschwindet und nur mein Mauszeiger auf einem schwarzen Hintergrund liegt (es ist nicht möglich den TaskManager zu starten)

Nun zu meinem Anliegen:

- ist es möglich mein System noch zu retten oder muss ich neu aufsetzen? Ist mein Win 7 64Bit jetzt auch betroffen?
Ich habe kein Problem damit meine Win7 64bit/Ubuntu Festplatte zu formatieren und neu aufzusetzen (dafür würde ich natürlich die "stark" infizierte Festplatte durch Stecker ziehen "deaktivieren"), aber ich brauche sehr viele Daten von der infizierten Festplatte, bevor ich diese formatieren kann. Ich brauch auch nicht unbedingt nochmal die Win 7 32bit -ein Windows reicht ja auch ;-)
Durch die Schattenkopie und natürlich durch den Befall habe ich aber Angst, das ich mein System direkt wieder neu infiziere, sobald ich dann die meine Daten sichern möchte.

Ich hoffe sehr das Ihr mir helft und sei es nur mit einem Rat wie ich die Formatierung und Datensicherung ohne neuinfizierung schaffe.
Dafür möchte ich mich im Vorfeld schon mal bei Euch für Eure Mühen bedanken! -Ihr gelben Engel

Dymosis

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012.12.19 21:50:58 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad 
[2012.07.06 18:27:11 | 000,000,051 | ---- | C] () -- C:\Users\Chris\AppData\Roaming\blckdom.res 
[2012.07.06 18:26:58 | 000,000,000 | ---D | M] -- C:\Users\Chris\AppData\Roaming\kock 
[2012.07.11 14:04:19 | 000,000,000 | ---D | M] -- C:\Users\Chris\AppData\Roaming\UAs 
[2012.07.11 14:04:35 | 000,000,000 | ---D | M] -- C:\Users\Chris\AppData\Roaming\xmldm 
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Name\*.tmp
C:\Users\Name\AppData\Local\Temp\*.exe
C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'john und vielen dank für die flotte Antwort!

Ich habe alle Aufgaben abgearbeitet und hier sind die Berichte dazu.

Sollte ich das selbe nochmal auf meinem Win 7 64bit ausführen?

Sehr gut!

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Zum Thema wie der Rechner läuft:

Beim "reaktivieren" von Kaspersky hängt er sich für eine Zeit auf, wenn ich zum Beispiel den Internet-Explorer starte.

Ich kann immernoch nicht die Windows-Firewall aufrufen, selbst wenn die von Kaspersky deaktiviert ist.

Anbei der Bericht von Emsisoft:


Vielen Dank für die schnellen Antworten

Deinstalliere Kaspersky vollstaendig.

dann:


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Danach bitte auch mitteilen, ob die Firewall funktioniert.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.