Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Laptop wurde vom GVU Virus/Trojaner befallen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.01.2013, 12:39   #31
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Ja das kann man schon machen.

Aber gleich mal eines vorneweg. Du hast es da mit einer sehr komplizierten Mehrfachinfektion zu tun. Der GVU war wirklich nur das Sahnehäubchen. Wir werden da noch eine Weile brauchen um das zu entsperren.

Downloade dir bitte zuvor Mbrfix
Download MBRFix 1.3.0.0 Free - Fix or create Master Boot Record (MBR) on harddisks - Softpedia

und speichere es auch auf dem Stick neben FRST

Mache bitte folgenden Fix, der sollte die Logdateien kopieren:

Code:
ATTFilter
CMD: copy /y c:\windows\minidump\*.dmp h:\
CMD: copy /y C:\Users\Michael\Desktop\HitmanPro_20130125_1356.log h:\
CMD: copy /y C:\Users\Michael\Desktop\HitmanPro_20130125_1355.log h:\
CMD: copy /y C:\Users\Admin\Desktop\HitmanPro_20130125_1356.log h:\
SaveMbr: Drive=0
         

Auf dem Stick sollte sich nun das minidump und ein MBRdump befinden. Den minidump bitte mal nur behalten. Den MBRdump bitte in ein ZIP packen und hier anhängen zur Analyse.

Die Hitman logfiles bitte in Code-Tags posten. Dann sehen wir hoffentlich weiter
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 27.01.2013, 16:48   #32
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Also ich habe jetzt MbrFix von dort runtergeladen. Das ist ja gepackt. Dann habe ich das auf dem Stick entpackt und dann erst mal die htm-Datei gelöscht. Muss ich den Code den du mir geschrieben hast in ein Textfile kopieren oder muss ich ihn so in die Eingabeaufforderung eingeben? oder muss der code mit Farbar ausgeführt werden.

Kannst du mir genau erklären was ich wie machen muss? Danke


Muss in der ersten code-Zeile nicht auch das C groß sein ?
__________________


Alt 27.01.2013, 18:47   #33
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Fix mit FRST hast du doch jetzt schon 2 mal gemacht. Genauso wieder.
__________________
__________________

Alt 27.01.2013, 21:14   #34
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Hier die Hitman Logfiles:

HitmanPro_20130125_1355:

Code:
ATTFilter
Code:
ATTFilter
HitmanPro 3.7.1.186
www.hitmanpro.com

   Computer name . . . . : ADMIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : NT-AUTORITÄT\SYSTEM
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2013-01-25 13:31:54
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 13m 31s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes

   Threats . . . . . . . : 4
   Traces  . . . . . . . : 53

   Objects scanned . . . : 1.829.761
   Files scanned . . . . : 110.677
   Remnants scanned  . . : 616.693 files / 1.102.391 keys

Malware _____________________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\0.3973178816905212.exe -> DeleteFailed
      Size . . . . . . . : 417.792 bytes
      Age  . . . . . . . : 343.7 days (2012-02-16 21:13:33)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : A86764055884DEB0E7ED1A50B4541288B7E1A167CEAC1B4FD50AAF39DF6B1BB3
      Product  . . . . . : ogF
      Publisher  . . . . : jGpBGDOftC
      Version  . . . . . : 8.05.0024
      Copyright  . . . . : QYOtopnsdk
    > G Data . . . . . . : Trojan.Generic.KDV.537089 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 110.0

   C:\Users\Michael\AppData\Local\Temp\8EBPEPOBN.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:36)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\H8NQKIS1.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:10)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\KMP_3.4.0.59.exe -> DeleteFailed
      Size . . . . . . . : 381.984 bytes
      Age  . . . . . . . : 72.7 days (2012-11-13 20:01:03)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 4147E53AF2F6A827CA8812A6DE298A7D45AAB3B5D729DBF0C00BDE3DD6B8F5BF
      Product  . . . . . : Softonic Downloader
      Publisher  . . . . : Softonic
      Description  . . . : Softonic Downloader
      Version  . . . . . : 1.35.7.0
      Copyright  . . . . : Copyright (C) 2012
    > Ikarus . . . . . . : Trojan.Agent4!IK
      Fuzzy  . . . . . . : 100.0


Suspicious files ____________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\~!#DE09.tmp
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:44)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 25.0
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         The file name extension of this program is not common.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\Michael\AppData\Roaming\skype.dat
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:50:09)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 53.0
         Substitutes Explorer.exe as the default shell. Malware tends to start this way.
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program starts automatically without user intervention.
         Time indicates that the file appeared recently on this computer.
      Startup
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


Malware remnants ____________________________________________________________

   Boot Configuration Data (BCD) WinPE mode
   HKLM\BCD00000000\Objects\{0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}\Elements\26000022\


Potential Unwanted Programs _________________________________________________

   C:\Program Files (x86)\Wajam\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\firefox_trigger_extension.htm (Claro)
   C:\Program Files (x86)\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi (Claro)
   C:\Program Files (x86)\Wajam\IE\ (Claro)
   C:\Program Files (x86)\Wajam\IE\Chrome_WidgetWin_0 (Claro)
   C:\Program Files (x86)\Wajam\IE\favicon.ico (Claro)
   C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Claro)
      Size . . . . . . . : 297.568 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:37)
      Entropy  . . . . . : 6.5
      SHA-256  . . . . . : D1413C141FD0CAB5802BDA39813D9AB3DF02F1D6CD91F3C862FB1EF819843513
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Wajam Internet Explorer Add-on
      Version  . . . . . : 1.1.0.6
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -13.0
      Startup
         HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
      References
         HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
         HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO.1\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO\
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\

   C:\Program Files (x86)\Wajam\uninstall.exe (Claro)
      Size . . . . . . . : 62.672 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:31)
      Entropy  . . . . . : 7.0
      SHA-256  . . . . . : 0FE2452CEA8F685946E787B678080DCE0AD48EE7B68DE112F1A8FD1272FFBD63
      Product  . . . . . : Wajam
      Description
      Version  . . . . . : 1.2
      Copyright  . . . . : © Wajam. All right reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -18.0
      References
         C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk

   C:\Program Files (x86)\Wajam\Updater\ (Claro)
   C:\Program Files (x86)\Wajam\Updater\wajamLogo.bmp (Claro)
   C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (Claro)
      Size . . . . . . . : 109.064 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:26)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : B23112AE291EFAE80AA7F9B1B119EB0DA4E426930A23EE77A6A43288F3C0CBB9
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Auto-updater
      Version  . . . . . : 1.0.0.5
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Service  . . . . . : WajamUpdater
      Authenticode . . . : Self-signed
      Running processes  : 3664
      Fuzzy  . . . . . . : 4.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater\

   C:\Users\Admin\AppData\Local\Wajam\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\wajam.crx (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\ (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk (Claro)
   HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Google\chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wajam\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Wajam\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\WajamUpdater\ (Claro)
         
HitmanPro_20130125_1356:

Code:
ATTFilter
Code:
ATTFilter
HitmanPro 3.7.1.186
www.hitmanpro.com

   Computer name . . . . : ADMIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : NT-AUTORITÄT\SYSTEM
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2013-01-25 13:31:54
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 13m 31s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes

   Threats . . . . . . . : 4
   Traces  . . . . . . . : 53

   Objects scanned . . . : 1.829.761
   Files scanned . . . . : 110.677
   Remnants scanned  . . : 616.693 files / 1.102.391 keys

Malware _____________________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\0.3973178816905212.exe -> DeleteFailed
      Size . . . . . . . : 417.792 bytes
      Age  . . . . . . . : 343.7 days (2012-02-16 21:13:33)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : A86764055884DEB0E7ED1A50B4541288B7E1A167CEAC1B4FD50AAF39DF6B1BB3
      Product  . . . . . : ogF
      Publisher  . . . . : jGpBGDOftC
      Version  . . . . . : 8.05.0024
      Copyright  . . . . : QYOtopnsdk
    > G Data . . . . . . : Trojan.Generic.KDV.537089 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 110.0

   C:\Users\Michael\AppData\Local\Temp\8EBPEPOBN.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:36)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\H8NQKIS1.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:10)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\KMP_3.4.0.59.exe -> DeleteFailed
      Size . . . . . . . : 381.984 bytes
      Age  . . . . . . . : 72.7 days (2012-11-13 20:01:03)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 4147E53AF2F6A827CA8812A6DE298A7D45AAB3B5D729DBF0C00BDE3DD6B8F5BF
      Product  . . . . . : Softonic Downloader
      Publisher  . . . . : Softonic
      Description  . . . : Softonic Downloader
      Version  . . . . . : 1.35.7.0
      Copyright  . . . . : Copyright (C) 2012
    > Ikarus . . . . . . : Trojan.Agent4!IK
      Fuzzy  . . . . . . : 100.0


Suspicious files ____________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\~!#DE09.tmp
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:44)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 25.0
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         The file name extension of this program is not common.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\Michael\AppData\Roaming\skype.dat
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:50:09)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 53.0
         Substitutes Explorer.exe as the default shell. Malware tends to start this way.
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program starts automatically without user intervention.
         Time indicates that the file appeared recently on this computer.
      Startup
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


Malware remnants ____________________________________________________________

   Boot Configuration Data (BCD) WinPE mode
   HKLM\BCD00000000\Objects\{0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}\Elements\26000022\


Potential Unwanted Programs _________________________________________________

   C:\Program Files (x86)\Wajam\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\firefox_trigger_extension.htm (Claro)
   C:\Program Files (x86)\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi (Claro)
   C:\Program Files (x86)\Wajam\IE\ (Claro)
   C:\Program Files (x86)\Wajam\IE\Chrome_WidgetWin_0 (Claro)
   C:\Program Files (x86)\Wajam\IE\favicon.ico (Claro)
   C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Claro)
      Size . . . . . . . : 297.568 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:37)
      Entropy  . . . . . : 6.5
      SHA-256  . . . . . : D1413C141FD0CAB5802BDA39813D9AB3DF02F1D6CD91F3C862FB1EF819843513
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Wajam Internet Explorer Add-on
      Version  . . . . . : 1.1.0.6
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -13.0
      Startup
         HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
      References
         HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
         HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO.1\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO\
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\

   C:\Program Files (x86)\Wajam\uninstall.exe (Claro)
      Size . . . . . . . : 62.672 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:31)
      Entropy  . . . . . : 7.0
      SHA-256  . . . . . : 0FE2452CEA8F685946E787B678080DCE0AD48EE7B68DE112F1A8FD1272FFBD63
      Product  . . . . . : Wajam
      Description
      Version  . . . . . : 1.2
      Copyright  . . . . : © Wajam. All right reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -18.0
      References
         C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk

   C:\Program Files (x86)\Wajam\Updater\ (Claro)
   C:\Program Files (x86)\Wajam\Updater\wajamLogo.bmp (Claro)
   C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (Claro)
      Size . . . . . . . : 109.064 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:26)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : B23112AE291EFAE80AA7F9B1B119EB0DA4E426930A23EE77A6A43288F3C0CBB9
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Auto-updater
      Version  . . . . . : 1.0.0.5
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Service  . . . . . : WajamUpdater
      Authenticode . . . : Self-signed
      Running processes  : 3664
      Fuzzy  . . . . . . : 4.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater\

   C:\Users\Admin\AppData\Local\Wajam\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\wajam.crx (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\ (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk (Claro)
   HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Google\chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wajam\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Wajam\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\WajamUpdater\ (Claro)
         
Nur zur Info: Es wurde kein minidump file angelegt, sondern nur 6 Crash dump files.

Alt 27.01.2013, 21:39   #35
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Ich hoffe du ärgerst dich nicht, weil wir hier so lange brauchen.

Eine Möglichkeit sehe ich noch bevor wir zu härteren Massnahmen greifen müssen. Bereite dich aber bitte in Gedanken schon mal auf eine Neuinstallation vor.

Nochmals ein Fix-Versuch mit FRST:
Code:
ATTFilter
2 WajamUpdater; "C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe" [109064 2012-06-14] (Wajam)
         

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 27.01.2013, 22:06   #36
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



In der Ruhe liegt die Kraft Das war fürs Phrasenschwein

Ich habe mich darauf eingestellt, dass es lange dauert. Das ist kein Problem.

Hier die Fixlog:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-27 22:01:35 Run:3
Running from H:\

==============================================

WajamUpdater service deleted successfully.

==== End of Fixlog ====
         

Alt 27.01.2013, 22:40   #37
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



In Ordnung.

Bootet es jetzt?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 27.01.2013, 22:46   #38
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Nein. Weder normal noch im abgesicherten Modus

Alt 27.01.2013, 23:03   #39
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Wie ärgerlich:

Gut, dann bitte wieder bis zu dieser Eingabeaufforderung die dir schon bekannt sein dürfte booten und dann folgendes eingeben:

Code:
ATTFilter
BootRec /fixmbr (enter)
BootRec /RebuildBcd (enter)
         
Wenn wir Glück haben kannst du danach entweder booten oder zumindest den Bootmanager benutzen ohne von der DVD booten zu müssen.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 28.01.2013, 18:57   #40
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Bei dem ersten Befehl kommt folgende Antwort:

Der Vorgang wurde abgeschlossen

Beim 2. Befehl kommt jedoch diese Antwort:

Die Suche nach Windows-Installationen war erfolgreich.
Gesamtzahl der identifizierten Windows-Installationen: 0
Der Vorgang wurde abgeschlossen.

Ich kann weder normal noch im abgesicherten Modus booten.

Alt 29.01.2013, 15:07   #41
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



In Ordnung, ich stelle dein Problem mal intern zur Diskussion.

Bitte warten
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 29.01.2013, 17:16   #42
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Es gibt 2 neue Ideen:

Mache bitte einen weiteren FRST-Fix:
Code:
ATTFilter
TDL4: custom:26000022 <===== ATTENTION!
         
Wenn es danach noch nicht funktioniert:
Was passiert wenn du die Startreparatur ausführst?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 30.01.2013, 17:50   #43
Ihatevira
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Der Fix mit Frst hat geklappt:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-30 17:24:08 Run:4
Running from H:\

==============================================


Der Vorgang wurde erfolgreich beendet.
Der Vorgang wurde erfolgreich beendet.

==== End of Fixlog ====
         
Hochfahren kann er aber immer noch nicht.
Systemstartreperatur bringt mir den Fehler, dass nichts repariert werden kann.

Alt 30.01.2013, 17:59   #44
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



In Ordnung, das hilft scheinbar alles nichts, es gibt jetzt nur noch 2 Möglichkeiten.

- Systemwiederherstellung
- Reparaturinstallation

und dann die Neuinstallation.

Wir beginnen mir dem ersten.

Gib in der Eingabeaufforderung ein: rstrui (enter)

Versuche einen Zustand VOR dem 2013-01-23 20:55 zu erreichen.

Wenn das geklappt hat, dann bitte ein neues FRST-Log.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 30.01.2013, 22:35   #45
ryder
/// TB-Ausbilder
 
Laptop wurde vom GVU Virus/Trojaner befallen - Standard

Laptop wurde vom GVU Virus/Trojaner befallen



Eine weitere Möglichkeit wurde mir gerade zugeflüstert.

Drücke beim Booten bitte nicht F8 um ins Bootmenü zu kommen sondern F10 um in einen Bildschirm zu kommen der sich "Edit Boot Options" nennt.

Schreibe mir bitte auf, was sich zwischen den eckigen Klammern als Text befindet!

Steht da etwas anderes als dieses?

Zitat:
/NOEXECUTE=OPTIN
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Antwort

Themen zu Laptop wurde vom GVU Virus/Trojaner befallen
arten, auf einmal, befallen, bildschirm, bösartig, entfern, entferne, entfernen, entfernt, google, googlen, gvu trojaner, laptop, neustarten, surfe, surfen, total, troja, trojaner, virus/trojaner, vorgehen, weißer, weißer bildschirm, zahlungsaufforderung




Ähnliche Themen: Laptop wurde vom GVU Virus/Trojaner befallen


  1. Tastatur spinnt - Hilfe - Laptop und Desktop befallen - Virus?
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (5)
  2. Laptop von tlb-Search befallen
    Log-Analyse und Auswertung - 03.11.2014 (9)
  3. Ein Konto vom Rechner wurde vom Interpol Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (7)
  4. Laptop mit browser defender Trojaner befallen.
    Log-Analyse und Auswertung - 23.08.2013 (7)
  5. Laptop mit GVU/BSI-Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (22)
  6. GVU-Trojaner mit Kamera - Laptop befallen
    Log-Analyse und Auswertung - 03.01.2013 (14)
  7. Laptop von Trojaner Virus atraps.gen 2 / TR/Small.FI befallen
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (18)
  8. 100-Virus, Windows 7,nur ein Benutzerkonto befallen, Laptop
    Plagegeister aller Art und deren Bekämpfung - 07.04.2012 (6)
  9. Virus/ Trojaner: Achtung, aus Sicherheitsgründen wurde ihr System wurde Blockiert!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (15)
  10. Commerzbank Trojaner - Warten Sie bis Ihrer Computer identifiziert wurde-hat mich auch befallen
    Plagegeister aller Art und deren Bekämpfung - 15.12.2011 (4)
  11. Laptop mit Viren befalLen. was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2010 (4)
  12. Alter HP Laptop von Trojaner befallen und Neuformatierung anscheinend nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (18)
  13. Laptop von Maleware und Trojaner befallen!
    Mülltonne - 09.10.2010 (3)
  14. Bootsektor Virus hat meinen Laptop befallen
    Plagegeister aller Art und deren Bekämpfung - 09.10.2009 (23)
  15. Wurde ich von viren befallen??
    Log-Analyse und Auswertung - 25.05.2009 (1)

Zum Thema Laptop wurde vom GVU Virus/Trojaner befallen - Ja das kann man schon machen. Aber gleich mal eines vorneweg. Du hast es da mit einer sehr komplizierten Mehrfachinfektion zu tun. Der GVU war wirklich nur das Sahnehäubchen. Wir - Laptop wurde vom GVU Virus/Trojaner befallen...
Archiv
Du betrachtest: Laptop wurde vom GVU Virus/Trojaner befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.