Hallo,

hab noch nie etwas mit Trojanern zu tun gehabt bzw. bislang verschont geblieben. Nun hat's mich gleich doppelt erwischt. Am 03.05.13 ploppte plötzlich der GVU Trojaner auf. Habe mir über meinen anderen Rechner Malwarebytes gezogen und über den Abgesicherten Offlinemodus installiert und einige Sachen entfernen lassen. Das ging relativ schnell.

Nun am gestrigen Freitag 10.05.13 bekam ich den nächsten GVU Trojaner, dessen Beseitigung etwas länger dauerte. Mit Malwarebytes war es nicht gleich getan. Ich bin ihn auch noch nicht ganz los. Wahrscheinlich sind es mehrere Angriffspunkte.

Eingefangen hab ich mir diese, weil eine komische gefakte java-update-Meldung aufploppte. Egal was man da drückt, es ist nun passiert.

Ich war der Meinung, dass die Firewall einen Zugriff auf ctfmon.exe gemeldet hatte.

Habe dann nach allen *.exe Dateien vom 10.05.13 gesucht und auch eine ganz komische sofort gelöscht. (Kruzifix-Name) Aber der GVU kam immer wieder. Ich glaube er kam erst dann nicht mehr als ich über msconfig eine exe namens CTxfiHlp aus dem Systemstart deaktiviert hatte. (Hersteller UNBEKANNT, scheint aber irgendwie was mit meiner Creative Soundkarte zu tun zu haben. Könnte sich aber etwas eingenistet haben.) Ist noch deaktiviert aber nicht gelöscht. Ging auch nicht weil laufender Prozess oder so...

Ich habe die ctfmon.exe mit dem Remover ersetzen lassen, da sie ja eh immer wieder im Autostart erscheint. Laut dem malware-log war sie auch mit dem Trojan.Agent.Gen befallen.

Laut dem letzten malware-log ist nun nur noch die rundll32.exe mit dem Trojan.Agent.Gen befallen. Die Frage, es scheint nicht die echte rundll32.exe zu sein, welche sich in C:\windows\system32 befindet ???

Malwarebytes sagt, ihn zwar gelöscht und in Quarantäne gestellt zu haben aber nach jedem Quick-Check taucht sie immer wieder auf.

Zwischendurch hat mein AVG auch noch einen JS/Agent.Z entdeckt und gelöscht.

Ich habe eure Anleitungen befolgt und alle logs (zzgl. 3x malwarebytes) in der beigefügten rar gespeichert.

Bitte helft mir. Zumindest kann ich derzeit mit dem Rechner arbeiten. Aber ich weiß ja nicht was der Trojaner im Hintergrund noch für Sachen ausspäht. Sogar meine Webcam hat der GVU aktiviert.

Also Vielen Dank im Voraus. Ich erwarte freudigst eure Rückmeldungen.

Gruß Marcus

Servus,



Aus deiner Logdatei:

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com

Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportstopp

Lesestoff:
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Zudem sind Cracks und Patches aus dubioser Quelle sehr oft mit Schädlingen versehen, womit man sich also fast vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Hinzu kommt, dass wir dich in unserer Anleitung und auch in diesem Wichtig-Thema unmissverständlich darauf hingewiesen haben, wie wir damit umgehen werden. Saubere, gute Software hat seinen Preis und die Softwarefirmen leben von diesen Einnahmen.

Unsere Hilfe beschränkt sich daher nur auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Forum.

Damit ist das Thema beendet.