Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.04.2013, 10:13   #1
Kchen
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Hallo,

ich habe mir letzte Woche einen GVU-Trojaner eingefangen. Daraufhin habe ich das Netbook auf einen früheren Zeitpunkt zurückgesetzt und so konnte ich es zumindest wieder hochfahren.

Nun wollte ich aber sichergehen ob der Trojaner auch wirklich weg ist. Meine Virenprogramme haben bei einem Suchlauf nichts angezeigt. Dann habe ich mir Malwarebytes runtergeladen und hier werden mir 5 Objekte, welche wohl befallen sind, aufgezeigt.

So, nun weiß ich aber nicht weiter. Kann mir hier jemand helfen? Was muss ich denn nun tun um den oder die Viren wirklich komplett von meinem Netbook zu entfernen?

Viele Grüße

Alt 04.04.2013, 10:23   #2
M-K-D-B
/// TB-Ausbilder
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?






Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
    Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
  • Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.




Zitat:
Zitat von Kchen Beitrag anzeigen
Dann habe ich mir Malwarebytes runtergeladen und hier werden mir 5 Objekte, welche wohl befallen sind, aufgezeigt.

So, nun weiß ich aber nicht weiter. Kann mir hier jemand helfen? Was muss ich denn nun tun um den oder die Viren wirklich komplett von meinem Netbook zu entfernen?
Wieso postest du mir nicht mal die Logdatei von Malwarebytes' Anti-Malware? Dann sehen wir weiter.
Bitte alle Logs mit Funden posten
__________________


Alt 04.04.2013, 10:28   #3
Kchen
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Hallo Matthias,


hier die Logdatei:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.01.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Katrin :: KATRIN-PC [Administrator]

Schutz: Aktiviert

01.04.2013 20:58:47
MBAM-log-2013-04-02 (00-03-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 329777
Laufzeit: 3 Stunde(n), 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\$Recycle.Bin\S-1-5-21-2338033741-1917138375-3194134120-1000\$caf3149b0c7616d2c44de15b3a45e5ac\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\Users\Katrin\AppData\Local\Temp\~!#62E2.tmp (Malware.Packer.SGX1) -> Keine Aktion durchgeführt.
C:\Users\Katrin\AppData\Local\Temp\~!#8467.tmp (Trojan.Agent.ED) -> Keine Aktion durchgeführt.
C:\Users\Katrin\AppData\Local\Temp\~!#A7DF.tmp (Rootkit.0Access.NR) -> Keine Aktion durchgeführt.
C:\Users\Katrin\AppData\Roaming\skype.dat (Malware.Packer.SGX1) -> Keine Aktion durchgeführt.

(Ende)
__________________

Alt 04.04.2013, 10:46   #4
M-K-D-B
/// TB-Ausbilder
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Servus,





Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
  • Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
  • Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
  • Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, da sie sich praktisch "jeder" ansehen konnte.
Teile mir also mit, wie du dich entschieden hast.



Solltest du dich für eine Bereinigung entschieden haben, beginnen wir folgendermaßen:





Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.


Alt 04.04.2013, 11:47   #5
Kchen
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



So, hier die Loddatei von Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-04-02.01 - Katrin 04.04.2013  12:18:14.1.4 - x86
Microsoft Windows 7 Starter   6.1.7601.1.1252.49.1031.18.1013.225 [GMT 2:00]
ausgeführt von:: c:\users\Katrin\Downloads\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\FullRemove.exe
c:\users\Katrin\AppData\Roaming\skype.dat
c:\users\Katrin\Desktop\Setup.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-04 bis 2013-04-04  ))))))))))))))))))))))))))))))
.
.
2013-04-04 10:36 . 2013-04-04 10:36	--------	d-----w-	c:\users\Katrin\AppData\Local\temp
2013-04-04 10:36 . 2013-04-04 10:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-04-04 10:23 . 2013-04-04 10:23	60872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{41A07BFB-3559-4129-B4D8-B5353589F733}\offreg.dll
2013-04-04 08:57 . 2013-03-19 04:50	7108640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{41A07BFB-3559-4129-B4D8-B5353589F733}\mpengine.dll
2013-04-01 18:56 . 2013-04-01 18:56	--------	d-----w-	c:\users\Katrin\AppData\Roaming\Malwarebytes
2013-04-01 18:55 . 2013-04-01 18:55	--------	d-----w-	c:\programdata\Malwarebytes
2013-04-01 18:55 . 2013-04-01 18:55	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-04-01 18:55 . 2012-12-14 14:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-04-01 18:53 . 2013-04-01 18:53	--------	d-----w-	c:\users\Katrin\AppData\Local\Programs
2013-03-27 11:59 . 2013-02-12 03:32	15872	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-03-17 12:39 . 2013-01-08 22:01	768000	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-03-06 18:26 . 2013-01-04 03:00	2347008	----a-w-	c:\windows\system32\win32k.sys
2013-03-06 18:26 . 2013-01-05 05:00	3967848	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-06 18:26 . 2013-01-05 05:00	3913064	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-06 18:26 . 2013-01-03 05:05	1293672	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-03-06 18:26 . 2013-01-03 05:04	187752	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2013-03-06 18:25 . 2013-01-04 04:50	169984	----a-w-	c:\windows\system32\winsrv.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-17 10:43 . 2012-06-06 19:58	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-17 10:43 . 2012-06-06 19:58	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-12 04:48 . 2013-03-17 11:12	474112	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-17 11:12	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-01-17 00:28 . 2011-03-09 20:17	232336	------w-	c:\windows\system32\MpSigStub.exe
2012-09-30 16:01 . 2011-04-01 11:01	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Katrin\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Katrin\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Katrin\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"OfficeSyncProcess"="c:\program files\Microsoft Office\Office14\MSOSYNC.EXE" [2012-01-20 719672]
"GrooveMonitor"="c:\program files\Microsoft Office\Office14\GROOVEMN.EXE" [2011-02-11 944520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-11-30 9914984]
"ETDCtrl"="c:\program files\Elantech\ETDCtrl.exe" [2010-11-12 1812264]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-01-07 1797488]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-12-14 512360]
.
c:\users\Katrin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Katrin\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Katrin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk]
path=c:\users\Katrin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2012-05-22 06:38	160872	----a-w-	c:\program files\PDF24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBTINSP;TI-Nspire(TM) Handheld or TI Network Bridge Device Driver;c:\windows\system32\DRIVERS\tinspusb.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 BTWAMPFL;BTWAMPFL;c:\windows\system32\DRIVERS\btwampfl.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMPROTECTOR
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-06 10:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.startfenster.com
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Katrin\AppData\Roaming\Mozilla\Firefox\Profiles\1o7so2o6.default\
FF - ExtSQL: !HIDDEN! 2011-03-30 16:25; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF - user.js: general.useragent.extra.brc - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-04-04  12:42:41
ComboFix-quarantined-files.txt  2013-04-04 10:42
.
Vor Suchlauf: 6 Verzeichnis(se), 55.354.826.752 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 56.112.484.352 Bytes frei
.
- - End Of File - - 4567C46EFC3CD7833FC7A7ABFD8C630D
         
--- --- ---


Alt 04.04.2013, 13:24   #6
M-K-D-B
/// TB-Ausbilder
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Servus,



ok, sieht schon mal nicht so schlecht aus.

Zitat:
ausgeführt von:: c:\users\Katrin\Downloads\ComboFix.exe
Alle Tools auf dem Desktop speichern!


So geht es weiter:





Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).
  • Starte bitte die OTL.exe.
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
  • Setze einen Haken bei Scanne alle Benutzer.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
CREATERESTOREPOINT
         
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Scan Button.
  • Am Ende des Suchlaufs werden 2 Logdateien erstellt.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Alt 05.04.2013, 15:51   #7
Kchen
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Ok, hier die Logdatei zum 3. Schritt:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=ccd744725ce55b4698d0fc45f9979f09
# engine=13555
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-05 01:25:23
# local_time=2013-04-05 03:25:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 99 13270 230591613 6780 0
# compatibility_mode=5893 16776573 100 94 13371 116799514 0 0
# scanned=128798
# found=1
# cleaned=1
# scan_time=11013
sh=6343F52D8C4F940355AB2A96E753CBB1E34EE553 ft=1 fh=ba5e5d1a25a919ed vn="a variant of Win32/Kryptik.AXNZ trojan (cleaned by deleting - quarantined)" ac=C fn="C:\Qoobox\Quarantine\C\Users\Katrin\AppData\Roaming\skype.dat.vir"
ESETSmartInstaller@High as downloader log:
all ok

und Schritt 4:

Results of screen317's Security Check version 0.99.61
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
WMI entry may not exist for antivirus; attempting automatic update.
Avira successfully updated!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
Java(TM) 6 Update 22
Java version out of Date!
Adobe Flash Player 11.6.602.180
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 13.0.1 Firefox out of Date!
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Alt 05.04.2013, 16:10   #8
M-K-D-B
/// TB-Ausbilder
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Servus,



der Funde von ESET befand sich in der Quarantäne von ComboFix und konnte keinen Schaden mehr anrichten.


Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier:
    Java Download (32 bit)
  • Speichere die Datei auf deinem Desktop.
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 17 ) installieren.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
schneller Plugin-Test: PluginCheck





Schritt 2
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.





Schritt 3
  • Klicke auf > Hilfe > Über Firefox
  • Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
  • Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
  • Klicke nun auf > Add-ons > > Auf Updates überprüfen
  • Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig) ob folgende Links fehlende Updates bei deinen Plugins zeigen:




Schritt 4
Sofern verwendet, starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 5
Downloade dir bitte delfix auf deinen Desktop.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.
  • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
  • Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.





Schritt 6
Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.



Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 05.04.2013, 19:53   #9
Kchen
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Boah vielen vielen Dank

Alt 06.04.2013, 10:57   #10
M-K-D-B
/// TB-Ausbilder
 
GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Standard

GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?



Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Antwort

Themen zu GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?
befallen, entferne, entfernen, früheren, gvu-trojaner, komplett, malware.packer.sgx1, malwarebytes, programme, rootkit.0access.nr, runtergeladen, trojan.0access, trojan.agent.ed, trojaner entfernt, virenprogramme, zurückgesetzt




Ähnliche Themen: GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?


  1. Wie sicher gehen das der PC wirklich befreit ist? (GVU Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2013 (14)
  2. Ebay+Mail Passwörter zurück gesetzt wegen Spam?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (3)
  3. GVU Trojaner unter Windows 7 - nach Entfernen sicher gehen?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (15)
  4. File Restore Trojaner - ist er sicher entfernt?
    Log-Analyse und Auswertung - 16.11.2012 (2)
  5. GVU 2.07 Win7 64bit - Wie kann ich sicher gehen, dass der Trojaner beseitigt ist?
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (12)
  6. Verschlüsselungstrojaner: System auf früheren Zeitpunkt wiederhergestellt, aber Dateien weg!
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  7. war mit Verschlüsselungs-Trojaner infiziert - sicher entfernt?
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (3)
  8. Trojaner Security Shield sicher vom System entfernt?
    Log-Analyse und Auswertung - 06.04.2012 (12)
  9. Systemwiederherstellung nach BKA Trojaner -- Was jetzt tun um sicher zu gehen ?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (1)
  10. Virus Gefühl / Wie Kann ich Sicher Gehen..
    Log-Analyse und Auswertung - 04.12.2010 (6)
  11. Wie kann man sicher gehen ??
    Antiviren-, Firewall- und andere Schutzprogramme - 20.08.2009 (2)
  12. Sicher gehen das Virus entfernt ist
    Mülltonne - 13.07.2009 (4)
  13. Sicher gehen das man Trojaner und Virenfrei ist ??
    Mülltonne - 08.12.2008 (0)
  14. Hilft eine Systemwiederherstellung(von einem früheren Zeitpunkt) gegen Spywarebefall?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (4)
  15. Trojaner sicher entfernt? - HJT-Logfile
    Log-Analyse und Auswertung - 04.04.2008 (3)
  16. Kann es sein dass ich Trojaner erwischt habe....
    Plagegeister aller Art und deren Bekämpfung - 12.04.2005 (8)
  17. Wann kann ich sicher sein, dass mein System sauber ist?
    Log-Analyse und Auswertung - 17.03.2005 (17)

Zum Thema GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? - Hallo, ich habe mir letzte Woche einen GVU-Trojaner eingefangen. Daraufhin habe ich das Netbook auf einen früheren Zeitpunkt zurückgesetzt und so konnte ich es zumindest wieder hochfahren. Nun wollte ich - GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?...
Archiv
Du betrachtest: GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.