Hallo liebes Support Team,

habe mir auf meinem Windows XP prof. Laptop einen GVU Trojaner eingefangen. Kamera ging an und die übliche GVU Meldung-Warnung.

Da ich nach dem Rechner Start nur noch den GVU Bildschirm bekam, habe ich mich hier im Forum informiert und erfolgreich mit einer OTL CD gebootet und den scan durchgeführt. Im Anhang habe ich dir otl.txt und extras.txt angefügt.

Jetzt weiss ich nicht mehr so recht weiter was zu tun ist.

Vorab danke für Eur Hilfe.

Viele Grüße

Hangloose

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

IE - HKU\MJ_ON_C\..\URLSearchHook: {0027da2d-c9f2-4b0b-ae05-e2cd1bdb6cff} - C:\Dokumente und Einstellungen\MJ\Lokale Einstellungen\Anwendungsdaten\CT2625848\ldrtbDVDV.dll () 
O3 - HKU\MJ_ON_C\..\Toolbar\WebBrowser: (DVDVideoSoftTB_DE Toolbar) - {0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} - C:\Dokumente und Einstellungen\MJ\Lokale Einstellungen\Anwendungsdaten\CT2625848\ldrtbDVDV.dll () 
O4 - HKU\Marc_ON_C..\Run: [TomTomHOME.exe] File not found 
O7 - HKU\Marc_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\MJ_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\phxzbypky) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\phxzbypky.exe (BitTech Co. Ltd.) 
[2013/01/21 02:16:38 | 000,174,592 | ---- | C] (BitTech Co. Ltd.) -- C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\phxzbypky.exe 
[2013/01/21 02:16:37 | 000,174,592 | ---- | C] (BitTech Co. Ltd.) -- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\phxzbypky.exe 
[2013/01/21 02:09:32 | 000,174,592 | ---- | C] (BitTech Co. Ltd.) -- C:\Dokumente und Einstellungen\MJ\Anwendungsdaten\phxzbypky.exe 
[2013/01/20 05:11:55 | 000,174,592 | ---- | C] (BitTech Co. Ltd.) -- C:\Dokumente und Einstellungen\MJ\Lokale Einstellungen\Anwendungsdaten\phxzbypky.exe 
[2013/01/20 05:11:54 | 000,174,592 | ---- | C] (BitTech Co. Ltd.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\phxzbypky.exe 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo t`john

Rechner lauft wieder. SPITZENKLASSE !!! Danke!

Soll ich jetzt noch was beachten?

Habe im Ordner C:/_Otl die komische Anwendung gesehen, die mich scheinbar erwischt hat. Soll ich da jetzt noch was löschen?

Muchas Gracias

Sehr gut!

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Als Anhang die txt aus AdW Cleaner.

Viele Grüße

Bitte das Malwarebytes Logfile posten!
(Reiter Logdateien)

Hier das Logfile aus Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.01.29.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MJ :: JUSTFIT-4MOBIL [Administrator]

Schutz: Aktiviert

29.01.2013 07:55:17
mbam-log-2013-01-29 (07-55-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 291851
Laufzeit: 2 Stunde(n), 9 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


danach:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Anbie die aswmbr.txt.

Viele Grüße

Schritt 2 und 3?

Malwarebytes Anti-Rootkit BETA 1.01.0.1017
Malwarebytes : Free Anti-Malware download

Database version: v2013.02.03.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MJ :: JUSTFIT-4MOBIL [administrator]

03.02.2013 23:19:59
mbar-log-2013-02-03 (23-19-59).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 26597
Time elapsed: 20 minute(s), 22 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)


*********************

Results of screen317's Security Check version 0.99.57
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Please wait while WMIC compiles updated MOF files.d
i
s
p
l
a
y
N
a
m
e
ECHO ist ausgeschaltet (OFF).
M
i
c
r
o
s
o
f
t
ECHO ist ausgeschaltet (OFF).
S
e
c
u
r
i
t
y
ECHO ist ausgeschaltet (OFF).
E
s
e
n
t
i
a
l
s
ECHO ist ausgeschaltet (OFF).
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
JavaFX 2.1.1
Java(TM) 6 Update 29
Java 7 Update 9
Java version out of Date!
Adobe Flash Player 11.5.502.146
Adobe Reader 10.1.5 Adobe Reader out of Date!
Mozilla Firefox 14.0.1 Firefox out of Date!
Google Chrome 24.0.1312.56
Google Chrome 24.0.1312.57
````````Process Check: objlist.exe by Laurent````````
Microsoft Security Essentials msseces.exe
Windows Defender MSMpEng.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Microsoft Security Client Antimalware MsMpEng.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)
Firefox: Firefox - Download - Filepony

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 13 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Was die Deaktivierung angeht, so habe ich sie unter OPERA (den ich viel nutze) nicht gefunden.

Auch benötige ich Java für ein wichtiges Programm, das ich für meine Firma nutze und nur so auf unsere Verwaltungssoftware zugreifen kann.

Ich habe auch noch das Problem seit einigen Tagen, dass ich den Rechner 2-3 mal starten muss, weil ich nur einen blauen Bildschirm bekomme und die Desktop Icons nicht sichtbar werden. Erst nach dem 2.-3.-4. Versuch geht es dann. Auch die Taskleiste hat keine Symbole mehr, die ich mit Ihren Start-Icons dort hingezogen habe. Jetzt kann ich dort nichts mehr hinziehen.

Anbei der PluginCheck:



PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.
Opera 12.13 ist aktuell
Flash (11,5,502,0) ist aktuell.
Java (1,7,0,13) ist aktuell.
Adobe Reader 11,0,1,0 ist aktuell.



Zurück

Tools:

StartSeite
PluginCheck
Secunia Online Scan


Weiterführendes:

Java Updaten und Einstellen

Secunia Personal Software Inspector (PSI)

Family:

TR/Agent

********************

Zitat:

Zitat von Hangloose

Was die Deaktivierung angeht, so habe ich sie unter OPERA (den ich viel nutze) nicht gefunden.

http://www.trojaner-board.de/122961-...ktivieren.html

Zitat:

Auch benötige ich Java für ein wichtiges Programm, das ich für meine Firma nutze und nur so auf unsere Verwaltungssoftware zugreifen kann.

Es geht nur um das Browser-Plugin.
Aber wenn es benoetigt wird, sollte man einen Browser dafuer nutzen und einen anderen zum surfen.

Zitat:

Ich habe auch noch das Problem seit einigen Tagen, dass ich den Rechner 2-3 mal starten muss, weil ich nur einen blauen Bildschirm bekomme und die Desktop Icons nicht sichtbar werden. Erst nach dem 2.-3.-4. Versuch geht es dann. Auch die Taskleiste hat keine Symbole mehr, die ich mit Ihren Start-Icons dort hingezogen habe. Jetzt kann ich dort nichts mehr hinziehen.

Mal Screenshot posten: BlueScreenView - Download - Filepony

Es geht nich um den blue screen mit typischer weisser Schrift, sonder der Windows Bildschirm einfach in blau ohne Icons und Logos, nur der Mauszeiger in der Mitte. So bleibt der Bildschirm auch nach langer Wartezeit. Beim 3-4 mal starten sind die Icons dann irgendwann da.

Danke vorab