Trojaner-Board - erst 2 BKA-Trojaner, dann kein www mehr: glom0

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe (https://www.trojaner-board.de/119505-erst-2-bka-trojaner-dann-kein-www-mehr-glom0_exe-fq10-owvy-exe.html)

erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe

Hallo,

... vielleicht begann es mit einer seltsamen Mail (gmx!) eines Freundes, in dem nur ein Anhang war, der nicht funktionierte. Jaja, ich weiß ...

Nun:
Ich bin - bei ansonsten geringsten Kenntnissen der Materie in den letzten Tagen jetzt mehrfach in die Falle gegangen.
Erst forderte mich plötzlich der "GVU" zur Zahlung von U-Cash auf, dann kam nach (scheinbarer) Lösung des ersten Problems das nächste "staatliche" Schreiben ... Habe natürlich nicht gezahlt ...
Das erste Mal konnte ich den Rechner wieder durch zurücksetzen frei bekommen. 5 Tage später hatte ich ihn aber wieder ...
Mit ersten Hilfsansätzen von Bekannten konnte ich dann im Startsystem folgende Dateien finden und deaktivieren:

1. C:\Windows\System32\rundll32.exe C:\Users\Name\AppData\Local\Temp\glom0_exe,FQ10

daraufhin kam dann kurze Zeit später:

2. C:\Users\Name\AppData\Roaming\Ulna\owvy.exe

Beim zweiten hab ich einfach geraten und ihn im Systemstart deaktiviert, worauf mein Rechner (ohne Web) zumindest entsperrt war. Wieder aktiviert war er wieder gesperrt (mein unbeholfener Weg, zu prüfen, wo das Problem liegt).

Den ersten Trojaner hatte ich beim ersten Mal mit MaM beseitigt (wirklich?). Nach Befall durch den 2. stellte ich allerdings fest, dass der erste auch wieder im Systemstart hockte - allerdings noch deaktiviert. in weiteren Suchläufen konnte MaM weder etwas finden, noch entfernen.

Weder McAfee noch der Avira DE-Cleaner (zwar 41 Dateien rausgefiltert und gelöscht aber keine Info zum Problem) sowie die Kaspersky-Recovery-CD haben bisher tiefere Erkenntnisse gebracht. Selbstverständlich war mein McAfee (gehörte zum Softwarepaket meines Dell) komplett aktiviert und im Auto-Update!

Nun habe ich (mit meinem recht begrenzten Verständnis) versucht nach Euren Angaben vorzugehen:
1. defogger (kein Bericht)
2. OTL (Anhang: Extra/ OTL - hoffe, meine Zipperei hat funktioniert!)
3. Gmer scheidet wegen 64bit-System aus

Denke mal, das Problem sitzt tiefer? Wäre klasse, wenn sich aus meinen Angaben ein sinnvolles weiteres Vorgehen ableiten ließe! Falls ich zu laienhaft unpräzise bin, schieb ich soweit mir möglich gerne Daten nach!

Viele Grüße, Wodit

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

PRC - [2011.08.23 22:20:18 | 000,887,976 | ---- | M] (Ask) -- C:\Program Files (x86)\Ask.com\Updater\Updater.exe 

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 

IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE:64bit: - HKLM\..\SearchScopes\{8CB3FABA-6C84-461C-BFD9-D12FF617CD43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox 

IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE - HKLM\..\SearchScopes\{8CB3FABA-6C84-461C-BFD9-D12FF617CD43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox 

IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 

IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 

IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7IRFE_deDE465 

IE - HKCU\..\SearchScopes\{9B2D3695-89F8-446A-B833-BF0DBF947544}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=9M&apn_dtid=OSJ000&apn_uid=F600DA1E-650A-4DCB-A226-E360E625D1DF&apn_sauid=0D312FA5-C1A8-41D3-85BD-BF7B265417EB 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 

O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) 

O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) 

O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
 

O4:64bit: - HKLM..\Run: [FreeFallProtection] C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe () 

O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found 

O4:64bit: - HKLM..\Run: [LMPSSDMON] C:\Program Files\Lexmark\Monitor\ACB\LMabMON.exe () 

O4:64bit: - HKLM..\Run: [Stage Remote] C:\Program Files (x86)\Dell\Stage Remote\StageRemote.exe () 

O4:64bit: - HKLM..\Run: [WrtMon.exe] C:\Windows\SysNative\spool\drivers\x64\3\WrtMon.exe () 

O4 - HKLM..\Run: [] File not found 

O4 - HKLM..\Run: [AccuWeatherWidget] C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe () 

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask) 

O4 - HKLM..\Run: [Desktop Disc Tool] C:\Program Files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe () 

O4 - HKLM..\Run: [NeroLauncher] C:\Program Files (x86)\Nero\SyncUP\NeroLauncher.exe () 

O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe () 

O4 - HKCU..\Run: [] File not found 

O4 - Startup: C:\Users\Carsten\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Überwachungstool für die Intel® Turbo-Boost-Technik 2.0.lnk = File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O32 - HKLM CDRom: AutoRun - 1 

O33 - MountPoints2\{af4120be-b2e7-11e1-91c1-4c80937d7665}\Shell - "" = AutoRun 

O33 - MountPoints2\{af4120be-b2e7-11e1-91c1-4c80937d7665}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence 

[2012.07.14 17:36:01 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 

[2012.07.14 17:26:00 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 

[2012.07.14 10:56:00 | 000,000,506 | ---- | M] () -- C:\Windows\tasks\SystemToolsDailyTest.job 

[2012.07.14 10:56:00 | 000,000,506 | ---- | M] () -- C:\Windows\Tasks\SystemToolsDailyTest.job 

[2012.07.12 20:36:25 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 

[2012.06.29 21:57:48 | 000,000,564 | ---- | M] () -- C:\Windows\tasks\PCDoctorBackgroundMonitorTask.job 

[2012.06.29 21:57:48 | 000,000,564 | ---- | M] () -- C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job 

[2012.07.08 16:07:16 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

[resethosts]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'john,
vielen Dank für Dein Engagement!
Habe es genau so gemacht. Unten das File zur Einsicht.

Habe jetzt meine Wetter-Routine (zeigt mir Tageszeit und Wetter in meiner Stadt an - wenn mit Web verbunden) nicht mehr und obwohl nach wie vor WLan "vebunden" sagt, kann Google nicht aufgebaut werden.

Wie muss ich weitermachen?

Grüße, Wodit

P.S.: dachte nicht daran es zu prüfen - aber, Mails kommen rein!
Habe deshalb nochmal ein Bild vom Systemstartfenster gemacht, in dem noch immer die 2 deaktivierten Programme liegen. Hängt's damit zusammen?

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Neue Version! Bitte neu runterladen!

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hi t'john,
wieder nen Schritt geschafft.

Keine Funde von Mbam.
Adware sagt auch Registry is clean.

Im Anhang beide Ergebnis-Logs.

Brauche jetzt nur noch Freigabe, ob ich gemäß Aufforderung von Adware auch (wasauchimmer...) "deleten" soll. Aber das wirst Du mir sicher noch sagen. ;)

Noch zu Deiner Frage, wie er läuft:
Rechner zeigt keine Auffälligkeiten im Offline-Betrieb. Mal sehen, was nach Deiner Antwort geht ...:rofl:

Herzliche Grüße, Wodit

Sehr gut! :daumenhoc

Jetzt kommts :D

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Und wieder hallo,
is' erledigt - unten das File.

Das "danach" wirst Du mir sicher noch weiter erklären? McAfee ist jedenfalls schon abgeschaltet ... ;)

Grüße, Wodit

Gibt es Probleme mit ESET? ;)

äh - was muss ich tun? :confused:

...

Drueck den gruenen Button: ESET Online Scanner :)

... push the button!

Gerne! Aber läuft da der Scan gleich an? Is hier mein 2.-Rechner, der "gesund" is' ...

Grüße, Wodit

Bitte die Anleitung lesen. Wo gibts Unklarheiten?

Den Scan auf dem infizierten Rechner starten.

... kann ja sein, dass ich oberprasslig bin...: Wie soll ich den Online-Scan auf nem Rechner starten, der nicht online geht?

Hilflose Grüße, Wodit

Warum geht er nicht online?

Wie kommst Du sonst ins Internet?

Hi t'john,
leider scheine ich mein Problem nicht richtig deutlich gemacht zu haben. Es geht wahrscheinlich in der Thread-Überschrift etwas unter. Sorry, dass ich da nicht klar genug war!

Um überhaupt Hilfe suchen zu können, habe ich mir meinen alten Rechner genommen. Der steht jetzt neben meinem Kranken und ich transferiere ständig mit Stick hin und her.

Was brauchst Du gegebenenfalls noch für Info, um weiter helfen zu können?

Stand der Dinge bisher:
Seit dem ich Deinen Text mittels OTL durchgejagt habe, ist lediglich mein Uhrzeit/Wetter-Programm wech (schade eigentlich).
In meinem Systemstart finden sich immer noch die deaktivierten Programme, die ich am Anfang genannt hatte - und die im Screenshot unten erscheinen (hätte gedacht, dass die irgendwann mal verschwinden?)
Da ich aus den Logfiles nicht schlau werde, kann ich nicht sagen, was darüber hinaus gelaufen ist.
Nach wie vor kann der IE keine Seite hochfahren.

Viele Grüße, Wodit