GVU Trojaner - Kein abgesicherter Modus funktioniert, Windows 7 64 bit

markusg · 04.07.2013, 18:09

der normale müsste auch internet haben die logs bzw das was im ordner moved files ist

Erwischt · 04.07.2013, 18:15

07042013_225915.log

Code:

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\Erwischt_ON_F\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found.
F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe moved successfully.
========== FILES ==========
File\Folder F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe not found.
F:\Users\Erwischt\AppData\Local\Temp\drm_dyndata_7330014.dll moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\drm_dyndata_7370014.dll moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\drm_dyndata_7380014.dll moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\drm_dyndata_7410004.dll moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU2622.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU269E.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU468D.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU974B.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBUDD20.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBUFD4D.DLL moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\swt-win32-3740.dll moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\12-10_vista_win7_win8_64_dd_ccc_whql_net4.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\decrypt.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU2557.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU25D3.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU45D2.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBU9680.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBUDC65.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\EBUFC92.EXE moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\Gw2.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\LMkRstPt.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\SkypeSetup.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\sonarinst.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\SpotifyUninstall.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\tmp9C2F.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\tmpE233.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\xmlUpdater.exe moved successfully.
F:\Users\Erwischt\AppData\Local\Temp\_isC245.exe moved successfully.
========== COMMANDS ==========
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 07042013_225915

07042013_230043.log

Code:

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\Erwischt_ON_F\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found.
File F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe not found.
========== FILES ==========
File\Folder F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe not found.
File\Folder F:\Users\Erwischt\AppData\Local\Temp\*.dll not found.
File\Folder F:\Users\Erwischt\AppData\Local\Temp\*.exe not found.
========== COMMANDS ==========
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 07042013_230043

Folgende Dateien sind in den Unterordnern: \07042013_225915\F_Users\Erwischt\AppData\Local\Temp

markusg · 04.07.2013, 18:17

schau mal im otl ordner nach
F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe
die dann packen und hochladen

Erwischt · 04.07.2013, 18:24

Hab das im Upload Channel getan...aber wie bekomme ich jetzt den Link um den hier zu posten?

markusg · 04.07.2013, 18:25

gar nicht. der ist nur intern zu sehen.
danke dir.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

starte danach neu, gucke ob der explorer wieder startet.
die Archive kannst du löschen.

Erwischt · 04.07.2013, 18:30

Wird gemacht!

Eine kurze Zwischenfrage: Wenn ich das System später neu aufsetze: Welche Dateien darf ich sichern und somit wieder auf das neuaufgesetzte System nehmen?

markusg · 04.07.2013, 18:31

na wenn du das system neu aufsetzen willst, können wir uns combofix sparen.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://forum.chip.de/viren-trojaner-...c-1736596.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Erwischt · 04.07.2013, 18:50

Gut dann werde ich das nun tun. Ich möchte komplett sicher sein, dass alles Schädliche weg ist.

Prüfe ich die gesicherten Daten mit einem Antivirenprogramm (zB avast) sobald das System neu aufgesetzt ist?

Wie sieht es mit mit ganzen Ordnern aus (auf einer anderen Festplatte), die Medien-Dateien beinhalten? Ordner mit .exe Dateien nehme ich natürlich nicht mit.

markusg · 04.07.2013, 19:02

kannst erst mal soweit alles mit nemen, dann setzen wir neu auf, und sichern ab, dann prüfen wir

04.07.2013, 18:17	#18
markusg /// Malware-holic	GVU Trojaner - Kein abgesicherter Modus funktioniert, Windows 7 64 bit schau mal im otl ordner nach F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe die dann packen und hochladen __________________ __________________

GVU Trojaner - Kein abgesicherter Modus funktioniert, Windows 7 64 bit

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner - Kein abgesicherter Modus funktioniert, Windows 7 64 bit