Hallo liebe Helfer

Ich habe mir einen Trojaner eingefangen und brauche nun eure Hilfe. Ich konnte schon herausfinden, dass es sich dabei um die GVU 2.12 Version handelt.

Mir ist nur wichtig, dass ich meine Daten retten kann und eventuell ein paar Lesezeichen aus meinem Firefox bzw. die geöffneten Taps. Dass das System neu aufgespielt werden muss, habe ich auch schon mitbekommen, deswegen habe ich mich damit auch abgefunden zu fragen/suchen ob es Möglichkeiten gibt, das zu vermeiden.

Noch kurz zu mir: Ich habe keine Ahnung von der Technik. Zudem habe ich nur am Wochenende die Möglichkeit auf einen zweiten Rechner zu zugreifen, für eventuelle Downloads. Da ich bis 21.07. Urlaub habe, kann ich jeden Tag darauf zugreifen. Was ich sagen will ist, bitte nicht wundern, wenn ich nur am Wochenende antworte.

Danke schon mal im Voraus

MfG

BEN

Hi,
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Sorry, aber ich komme gerade nicht ganz mit. Auf welchem Rechner soll ich jetzt was machen?
Auf dem infizierten Rechner "Win"+R drücken oder dem normalen?

sorry,
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung
1 (FRST-Variante) und Anleitung
2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und
  boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten
  Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• 
  Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und
  klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• 
  Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und
  klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle
in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei
  > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere
  den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf
deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Ah, okay!
Also meinst du das hier?

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 09-07-2013
Ran by SYSTEM on 09-07-2013 14:54:29
Running from E:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [10060832 2010-02-09] (Realtek Semiconductor)
HKLM\...\RunOnce: [*Restore] C:\Windows\system32\rstrui.exe /RUNONCE [296960 2010-11-20] (Microsoft Corporation)
HKLM-x32\...\RunOnce: [Launcher] C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\Launcher.exe [165184 2010-07-21] (Softthinks)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,
HKLM-x32\...\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2009-12-09] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Desktop Disc Tool] "c:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe" [498160 2009-10-15] ()
HKLM-x32\...\Run: [DellSupportCenter] "C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter [206064 2009-05-21] (SupportSoft, Inc.)
HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe [3521424 2012-03-31] (Samsung Electronics Co., Ltd.)
HKU\Airbus A380\...\Run: [KiesHelper] C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe /s [954256 2012-03-31] (Samsung)
HKU\Airbus A380\...\Run: [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [21392 2012-03-31] ()
HKU\Airbus A380\...\Winlogon: [Shell] explorer.exe,C:\Users\Airbus A380\AppData\Roaming\skype.dat [60928 2013-06-02] () <==== ATTENTION 
Startup: C:\Users\Airbus A380\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk
ShortcutTarget: Dell Dock.lnk -> C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
Startup: C:\Users\Airbus A380\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
ShortcutTarget: OpenOffice.org 3.2.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk
ShortcutTarget: Dell Dock First Run.lnk -> C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk
ShortcutTarget: Dell Dock First Run.lnk -> C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)

==================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-05-09] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-09] (Avira Operations GmbH & Co. KG)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [75136 2011-02-10] ()
S2 TuneUp.UtilitiesSvc; C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2143072 2012-05-29] (TuneUp Software)

==================== Drivers (Whitelisted) ====================

S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [88480 2012-05-20] ()
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-05-09] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-05-09] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2011-10-19] (Avira GmbH)
S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [46400 2012-05-20] ()
S3 TuneUpUtilitiesDrv; C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [11856 2012-05-08] (TuneUp Software)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-09 14:54 - 2013-07-09 14:54 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-07-09 14:54 - 2013-07-09 14:54 - 00000000 ____D C:\FRST
2013-07-09 14:30 - 2009-07-14 06:51 - 00073635 ____A C:\Windows\setupact.log
2013-07-09 14:29 - 2013-06-02 17:19 - 00000004 ____A C:\Users\Airbus A380\AppData\Roaming\skype.ini
2013-07-09 14:29 - 2010-07-09 13:17 - 00000000 ____D C:\Users\Airbus A380\AppData\Local\SoftThinks
2013-07-09 14:29 - 2009-07-14 07:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-27 19:04 - 2009-07-14 07:10 - 02062909 ____A C:\Windows\WindowsUpdate.log
2013-06-27 18:43 - 2009-07-14 06:45 - 00014016 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-27 18:43 - 2009-07-14 06:45 - 00014016 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-27 18:39 - 2009-07-14 19:58 - 00654602 ____A C:\Windows\System32\perfh007.dat
2013-06-27 18:39 - 2009-07-14 19:58 - 00130216 ____A C:\Windows\System32\perfc007.dat
2013-06-27 18:39 - 2009-07-14 07:13 - 01500294 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-10 19:19 - 2009-07-14 04:34 - 75235328 ____A C:\Windows\System32\config\SOFTWARE.bak

Files to move or delete:
====================
C:\Users\Airbus A380\AppData\Roaming\skype.dat
C:\Users\Airbus A380\AppData\Roaming\skype.ini

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-05-12 20:19:37
Restore point made on: 2013-05-15 23:23:42
Restore point made on: 2013-05-20 18:28:39
Restore point made on: 2013-05-23 18:23:20
Restore point made on: 2013-05-26 16:46:01
Restore point made on: 2013-05-26 21:31:49
Restore point made on: 2013-05-31 16:19:39

==================== Memory info =========================== 

Percentage of memory in use: 13%
Total physical RAM: 6007.12 MB
Available physical RAM: 5212.98 MB
Total Pagefile: 6005.27 MB
Available Pagefile: 5263.03 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:1385.71 GB) (Free:1182.38 GB) NTFS (Disk=0 Partition=3)
Drive e: (HBCD 152) (Removable) (Total:1.87 GB) (Free:1.87 GB) FAT32 (Disk=1 Partition=1)
Drive i: (RECOVERY) (Fixed) (Total:11.44 GB) (Free:4.87 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 1397 GB) (Disk ID: 28000000)
Partition 1: (Not Active) - (Size=118 MB) - (Type=DE)
Partition 2: (Active) - (Size=11 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=-711133757440) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 2 GB) (Disk ID: 011679F5)
Partition 1: (Active) - (Size=2 GB) - (Type=0B)


LastRegBack: 2013-06-02 18:45

==================== End Of Log ============================
         

--- --- ---

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\Airbus A380\...\Winlogon: [Shell] explorer.exe,C:\Users\Airbus A380\AppData\Roaming\skype.dat [60928 2013-06-02] () <==== ATTENTION 
C:\Users\Airbus A380\AppData\Roaming\skype.dat
C:\Users\Airbus A380\AppData\Roaming\skype.ini
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

Hab ich!
Aber was mache ich jetzt mit der "Fixlist"-Datei, die ich eben erstellt habe?

Zitat:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 09-07-2013
Ran by SYSTEM at 2013-07-09 16:58:10 Run:1
Running from E:\
Boot Mode: Recovery
==============================================

HKU\Airbus A380\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\Airbus A380\AppData\Roaming\skype.dat => Moved successfully.
C:\Users\Airbus A380\AppData\Roaming\skype.ini => Moved successfully.

==== End of Fixlog ====

Der Upload fehlt.
bitte Anleitung bis zum Ende abarbeiten

ich bin gerade ein wenig verwirrt.
Wo soll ich denn "C:\FRST\Quarantine" finden?

na vllt auf c: so wie es da steht. und zwar nach neustart.

okay, ich wusste nicht, dass ich wieder auf meinen Rechner zugreifen kann. Dann ist es natürlich klar, dass ich dort den Pfad finde
Aber ich habe gerade ein anderes Problem. Ich habe den Ordner gefunden, da sind auch Dateien drin, jedoch weiß ich nicht, wie ich die mit Winrar o.a. "verpacken" soll.

einfach den ordner mit rechts anklicken und dann packen, so wie es ja auch da steht. bzw, wenn kein Winrar da ist, mit einem anderen Programm.
zip, 7zip etc. senden an, zip komprimierter Ordner geht auch.

Also so jetzt?

was hab ich geschrieben, wo die hochgeladen werden soll?
in dem Ordner ist schadsoftware, jetzt kann sie jeder laden.
bitte lösche den Anhang.
Willst du jetzt weiter bereinigen oder immernoch neu aufsetzen?

Das mit der Datei war nicht mit Absicht, Entschuldigung!
Wenn es möglich ist, den Rechner so hinzubekommen, dass er Trojanerfrei ist und Windows nicht neu installiert werden muss, dann würde ich gerne weiter bereinigen.
Zu diesem Upload Channel: Gibt es dort einen Trick oder stelle ich mich nur so dusselig an?
Ich lade die Datei hoch, kopiere den Link zum aktuellen Thema, gebe meinen Benutzername ein und ab geht's. Dann steht da, dass es erfolgreich war. Aber hier kommt nichts an... Wo liegt jetzt schon wieder der Fehler?