Trojaner-Board - GVU-Trojaner windows 7 ultimate

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU-Trojaner windows 7 ultimate (https://www.trojaner-board.de/139450-gvu-trojaner-windows-7-ultimate.html)

GVU-Trojaner windows 7 ultimate

Servus liebes Helfer-Team,
habe mir einen GVU-Trojaner auf meinem windows 7 ultimate rechner eingefangen. Abgesicherter Modus geht nicht mehr. Habe versucht das Problem über Kasperski windowsunlocker version 1.22 zu lösen, was ebenfalls nichts brachte. Dann hab ich einen scan über frst64.exe laufen lassen und dabei diese logfile erstellt (siehe Anhang).

Was fange ich jetzt mit dieser Datei an bzw. was soll ich als nächstes tun ?

über Hilfe würde ich mich sehr freuen.
LG

Hi,
Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

HKU\Ozan\...\Command Processor: "C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe" <===== ATTENTION!

HKU\Ozan\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 

C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe

C:\ProgramData\piz_0ef.pad

C:\ProgramData\ras_0oed.pad

C:\ProgramData\rat_0ybba.pad

C:\Users\Ozan\jagex_cl_runescape_LIVE.dat

C:\Users\Ozan\jagex_runescape_preferences.dat

C:\Users\Ozan\jagex_runescape_preferences2.dat

HKU\Ozan\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe [65024 2013-08-04] () <===== ATTENTION

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

falls du normal starten kannst:

Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

ah ich bin überglücklich. Saß den halben Tag da dran. Markus und dein Team ihr seid echt Gold wert. Jetzt scheint er wieder normal zu laufen, man kann sich wieder ganz normal einloggen. Also vielen Dank für die superschnelle Hilfe.

LG

Wir sind dann noch nich fertig, Upload fehlt aber noch, dann folgen weitere Anweisungen.
Logs übrigens bitte nicht anhängen sondern postenaußer wenn zu großb

Hi
das Hochladen hat nicht geklappt:
www.file-upload.net
dort hochladen, Link an mich als private Nachicht.
Danach:
Es sind 2 Logs zu erstellen, poste die möglichst gleichzeitig.
1.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

2.
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

habe versucht die Dateien im Quarantine-Ordner im upload-channel hochzuladen. Leider konnten sie nicht empfangen werden.
Wenn ich richtig verstanden habe sollte ich alle Dateien im Quarantine-Ordner packen und hochladen. Da sind jeweils 3 Dateien mit der Endung .pad und 3 mit der Endung .dat , sowie eine exe-datei. Sollte ich alle Hochladen ?

Hi siehe oben, hatte meinen Post editiert (file-upload.net)

ok den upload mit link müßtest du jetzt haben. Die Combofix.log ist im Anhang, die TDSSKiller.log ist mit 128 KB leider zu groß. Die versuch ich dir nochmal getrennt zu posten.

so...hier nochmal die TDSSKiller.log komprimiert im Anhang.

hi,
konfiguriere es wie eben.
suche dann den Fund:
Virus.Win64.ZAccess
wähle bitte cure. starte neu, poste ein neues TDSS-Killer Log nach oben genannter Konfig.

hi,
habe jezt in der TDSSKiller-datei in der von dir angegebenen Zeile den letzten Begriff skip durch cure ersetzt, gespeichert und poste es dir erneut zu. hoffe mal das war das was du meintest.

Hi,
meinte ich :-)
starte aber mal neu, und konfiguriere den TDSS Killer nach der Anleitung von seite 1, dann poste ein neues TDSS Killer Log.

ok...hab jetzt die tdsskiller.exe laufen lassen und hab am ende statt skip dann cure gewählt und reboot gemacht. der nur eine infizierte datei gefunden (suspicious object, medium risk). Eine log datei hab ich jetzt nirgends gefunden bzw. es wurde keine abgelegt. Allerdings erscheint ein report wenn man das anklickt.
Soll ich dir den inhalt der report-datei posten ?

Hi
ja, wo das Log zu finden ist, steht ja auch in der Anleitung und du hast ja bereits 2mal eins gepostet...

so ist das mit den anfängern ;) ...hier nochmal die letzte Log komprimiert im Anhang.