|
Log-Analyse und Auswertung: GVU-Trojaner eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.05.2013, 19:01 | #1 |
| GVU-Trojaner eingefangen Hallo, habe mir am 19.05 zwischen 3:00 und 4:00 einen Trojaner beim surfen eingefangen: Während ich mich noch freute, dass die security-essentials eine abgewandte Bedrohung meldeten, starrte ich auf einen Bildschirm, der einen Haufen Paragraphen aufzählte... der taskmanager ließ sich nicht öffnen. Gestern versuchte ich die Kaspersky-rescue-disk und die registry manuell auf einen früheren Stand zu bringen (mittels hines-boot-CD, nicht über Wiederherstellungspunkt). Ein zweiter Adminsitrator-Account ohne Sperrbildschirm ließ sich erstellen, aber der neue avast und tdss-killer finden nichts. Komischerweise lässt sich der Ordner "Dokumente und Einstellungen" nicht öffnen, weshalb ich mit einer Linux-CD reinging und einige Dateien löschte. Dann ließ sich auch der alte Account ohne Sperrbildschirm öffnen, war aber nach 2-3 Sekunden wieder gesperrt. Weil ich jetzt echt nicht mehr weiter weiß, habe ich Eure Checkliste durchgearbeitet. Ich hoffe, Ihr könnt mir weiterhelfen! Viele Grüße Rick |
20.05.2013, 19:47 | #2 |
/// Helfer-Team | GVU-Trojaner eingefangenSystemscan mit OTL (bebilderte Anleitung) Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
__________________ |
21.05.2013, 07:18 | #3 |
| GVU-Trojaner eingefangen Hallo t´John,
__________________anbei die Dateien. Danke, dass Du Dich damit beschäftigst! Viele Grüße Rick |
21.05.2013, 12:14 | #4 |
/// Helfer-Team | GVU-Trojaner eingefangen Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Ersetze die *** Sternchen wieder in den Benutzernamen zurück! Code:
ATTFilter :OTL O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask) :Files C:\ProgramData\*.exe C:\ProgramData\*.dll C:\ProgramData\*.tmp C:\ProgramData\TEMP C:\Users\XXX\*.tmp C:\Users\XXX\AppData\*.dll C:\Users\XXX\AppData\*.exe C:\Users\XXX\AppData\Local\Temp\*.exe C:\Users\XXX\AppData\LocalLow\Sun\Java\Deployment\cache ipconfig /flushdns /c :Commands [emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Downloade Dir bitte Malwarebytes Anti-Malware
danach: 3. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
21.05.2013, 19:13 | #5 |
| GVU-Trojaner eingefangen Hallo t´John, hier sind wieder mal die Dateien. Vielen Dank und viele Grüße! Rick |
21.05.2013, 19:45 | #6 |
| GVU-Trojaner eingefangen T´John! Sensationelle Anleitung! Konnte ganz normal starten - die Uhr ist eine Stunde vorgestellt und beim Runterfahren werden immer 2 Updates installiert (?), aber aus der Froschperspektive sieht alles einigermaßen normal aus. Vielen Dank für die sachkundigen Anweisungen! Den Hunni, den diese Vollidioten eh nie bekommen hätten, spende ich Euch! Hau rein! Rick |
22.05.2013, 13:30 | #7 |
/// Helfer-Team | GVU-Trojaner eingefangen Sehr gut! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte SecurityCheck und:
|
22.05.2013, 21:04 | #8 |
| GVU-Trojaner eingefangen N´abend t´John, aswMBR.exe ist abgestürzt und ich habe es dann mit der ´none´-Einstellung wiederholt. Eset meldete einen ´unexpected error 2002´; vielleicht aber, weil ich ein vergessenes Wechselmedium erst während des downloads der Signaturen einsteckte Danach ging es reibungslos, dauerte aber recht lange... Gute Nacht! Rick Code:
ATTFilter Results of screen317's Security Check version 0.99.63 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.75.0.1300 Java(TM) 6 Update 22 Java 7 Update 9 Java version out of Date! Adobe Flash Player 11.7.700.202 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 12.0 Firefox out of Date! Google Chrome 26.0.1410.64 Google Chrome 27.0.1453.93 ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Malwarebytes' Anti-Malware mbamscheduler.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
23.05.2013, 11:46 | #9 |
/// Helfer-Team | GVU-Trojaner eingefangenFixen mit OTL
Code:
ATTFilter :OTL :Files C:\Users\Rick\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\yl.js C:\Users\Rick\AppData\Roaming\Mozilla\Firefox\Profiles\ovv1fr5r.default\extensions\plugin@yontoo.com\content\overlay.js C:\Users\Rick\Downloads\master_of_orion_2_battle_at_antares.exe E:\WINDOWS\SYSTEM32\jjjlm.tmp E:\WINDOWS\TEMP\removalfile.bat E:\WINDOWS\inf\sdnnwi.ini E:\WINDOWS\inf\sdnnwi.bak2 E:\FOUND.013\FILE0000.CHK E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP198\A0040236.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP198\A0041245.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP198\A0042254.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP198\A0042262.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP199\A0042264.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP199\A0042269.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP199\A0042275.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP199\A0042282.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP199\A0042296.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP200\A0042302.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP200\A0042312.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP200\A0043328.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP200\A0043343.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP201\A0043347.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP201\A0043353.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP201\A0043366.INI E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP201\A0044378.ini E:\System Volume Information\_restore{41E31B8D-9FD4-4C78-B4A3-C42109F67314}\RP201\A0044389.ini
Aktualisiere:
Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html |
23.05.2013, 16:33 | #10 |
| GVU-Trojaner eingefangen Hallo t´John, der Adobe Reader ließ sich nicht installieren. Es kam die Fehlermeldung: {B708EB72-AA82-3EB7-8BB0-D845BA35C93D}.HRESULT:0x80073712. . Bilde mir ein, das nicht zum ersten Mal gesehen zu haben. Die beiden Anzeigen: PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. • Chrome 27.0.1453.93 ist aktuell • Flash (11,7,700,203) ist aktuell. • Java (1,7,0,21) ist aktuell. • Adobe Reader ist nicht installiert oder aktiviert. und PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. • Chrome 27.0.1453.93 ist aktuell • Flash (11,7,700,203) ist aktuell. • Java ist nicht Installiert oder nicht aktiviert. • Adobe Reader ist nicht installiert oder aktiviert. Viele Grüße Rick |
23.05.2013, 17:30 | #11 |
/// Helfer-Team | GVU-Trojaner eingefangen Sehr gut! damit bist Du sauber und entlassen! adwCleaner entfernen
Tool-Bereinigung Die Reihenfolge ist hier entscheidend.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
03.06.2013, 18:27 | #12 |
| GVU-Trojaner eingefangen Hallo t´John, nimm mir bitte nicht übel, dass ich es mit der Entfernung nicht so eilig hatte. Vielen Dank nochmal, dass Du meinen Rechner wieder auf die Schiene gehoben hast; ich finde es wirklich bemerkenswert, dass Ihr Euch so viel Zeit für die Probleme fremder Leute nehmt... Haut rein! Rick |
04.06.2013, 11:34 | #13 |
/// Helfer-Team | GVU-Trojaner eingefangen wuensche eine virenfreie Zeit |