Trojaner-Board - GVU Trojaner mit blockiertem abgesichertem Modus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner mit blockiertem abgesichertem Modus (https://www.trojaner-board.de/129570-gvu-trojaner-blockiertem-abgesichertem-modus.html)

GVU Trojaner mit blockiertem abgesichertem Modus

Grüßt euch,
ich hab mir einen von diesen GVU Trojanern mit Webcam eingefangen.
Der abgesicherte Modus hängt sich sofort auf, was die üblichen Beseitigungswege deutlich schwieriger macht.
Hab mich als Laie jetzt bis zum OTL Scan durchgekämpft.

Dieser läuft im Moment am Nachbarlaptop, der normale Scan bringt mir die Meldung "out of memory", ganz unten steht nach Durchsuchen einiger Dateien "Manual file scan - getting folder structure"
es passiert nun ewig nichts und dann erscheint besagte Meldung.
Mach ich was falsch?

Gruß Daniel

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Erstmal Danke für die Unterstützung,
soweit habe ich das ja schon alles erledigt.
Von der CD gebootet und den OTL laufenlassen, habe es jetzt mal ohne die Befehle zum reinkoperen gemacht, jetzt kam die OTL txt Datei raus, im Anhang befindlich. Eine extras.txt Datei hab ich nicht bekommen.

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL

SRV - [2013/01/14 07:06:41 | 000,143,360 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Users\Teddy\wgsdgsdgdsgsd.exe -- (Winmgmt)

[2013/01/14 07:34:12 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

[2013/01/14 07:06:48 | 000,002,890 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Heißen Dank,
Trojaner scheint fürs erste Ruhe zu geben, beim normalen Boot kam die Meldung "Problem beim Starten von C:\Users\Teddy\wgsdgsdgdsgsd.exe Das angegebene Modul wurde nicht gefunden"
Unten noch die fix Datei.

Man sollte die 100 €, die der Trojaner verlangt mal euch überweisen in Zukunft:party:

Muss bestimmt noch nen vernünftigen Scanner durchlaufen lassen oder?
AntiVir hat ja Meldung gegeben, als der Trojaner ankam, habe auf "Löschen" geklickt und ihm damit wohl Tür und Tor geöffnet, seh ich das richtig?

Sehr gut! :daumenhoc

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hab jetzt mal den Malwarebytes drüberlaufen,
mittendrin macht mir AntiVir eine Meldung auf
"In der Datei C\Users\Teddy\AppData\Local\...\provoke[1].htm wurde ein Virus oder unerwünschtes Programm EXP/CVE-2011-3402.B gefunden
Der Zugriff auf diese Datei wurde verweigert.
Bitte wählen Sie die weitere Aktion
Entfernen Details

Ich klick jetzt erstmal auf nix, das letzte mal hats AntiVir auch nicht geschafft, den Trojaner zu blocken. Was tun?

Gruß Daniel

Bitte das Malwarebytes Logfile posten!
(Reiter Logdateien)

Also ich versuche schon den ganzen Tag das Logfile zu posten,
aber immer wieder, sobald ich es als Anhang hochladen will, werde ich förmlich gesperrt von der Website und erreichen kann ich sie erst wieder nach ca. 1 Stunde, ist das Absicht?
Ich hab irgendwo gelesen, dass man Logfiles nicht als Anhang posten soll, sondern mit ner Symbolkombination, aber ich kann die Anleitung dazu nicht mehr finden:stirn:
Ich versuchs jetzt mal in dem folgenden Beitrag nochmal...

Erstmal der hier, da scheints keine Probleme zu geben und gleich der Malware Logfile...

Bitte Avira Log und MBAM Log posten.

http://www.trojaner-board.de/129570-...tml#post992625

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.