Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU-Trojaner windows 7 ultimate (https://www.trojaner-board.de/139450-gvu-trojaner-windows-7-ultimate.html)

coolffm 06.08.2013 22:59
GVU-Trojaner windows 7 ultimate
 
Servus liebes Helfer-Team,
habe mir einen GVU-Trojaner auf meinem windows 7 ultimate rechner eingefangen. Abgesicherter Modus geht nicht mehr. Habe versucht das Problem über Kasperski windowsunlocker version 1.22 zu lösen, was ebenfalls nichts brachte. Dann hab ich einen scan über frst64.exe laufen lassen und dabei diese logfile erstellt (siehe Anhang).

Was fange ich jetzt mit dieser Datei an bzw. was soll ich als nächstes tun ?

über Hilfe würde ich mich sehr freuen.
LG

markusg 06.08.2013 23:02
Hi,
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKU\Ozan\...\Command Processor: "C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe" <===== ATTENTION!
HKU\Ozan\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION
C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe
C:\ProgramData\piz_0ef.pad
C:\ProgramData\ras_0oed.pad
C:\ProgramData\rat_0ybba.pad
C:\Users\Ozan\jagex_cl_runescape_LIVE.dat
C:\Users\Ozan\jagex_runescape_preferences.dat
C:\Users\Ozan\jagex_runescape_preferences2.dat
HKU\Ozan\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Ozan\AppData\Local\Temp\faqgxsfrsgckrafek.exe [65024 2013-08-04] () <===== ATTENTION
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

falls du normal starten kannst:

Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

coolffm 06.08.2013 23:32
ah ich bin überglücklich. Saß den halben Tag da dran. Markus und dein Team ihr seid echt Gold wert. Jetzt scheint er wieder normal zu laufen, man kann sich wieder ganz normal einloggen. Also vielen Dank für die superschnelle Hilfe.

LG

markusg 06.08.2013 23:35
Wir sind dann noch nich fertig, Upload fehlt aber noch, dann folgen weitere Anweisungen.
Logs übrigens bitte nicht anhängen sondern postenaußer wenn zu großb

markusg 06.08.2013 23:56
Hi
das Hochladen hat nicht geklappt:
www.file-upload.net
dort hochladen, Link an mich als private Nachicht.
Danach:
Es sind 2 Logs zu erstellen, poste die möglichst gleichzeitig.
1.
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.


2.
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

coolffm 07.08.2013 00:00
habe versucht die Dateien im Quarantine-Ordner im upload-channel hochzuladen. Leider konnten sie nicht empfangen werden.
Wenn ich richtig verstanden habe sollte ich alle Dateien im Quarantine-Ordner packen und hochladen. Da sind jeweils 3 Dateien mit der Endung .pad und 3 mit der Endung .dat , sowie eine exe-datei. Sollte ich alle Hochladen ?

markusg 07.08.2013 00:02
Hi siehe oben, hatte meinen Post editiert (file-upload.net)

coolffm 07.08.2013 01:04
ok den upload mit link müßtest du jetzt haben. Die Combofix.log ist im Anhang, die TDSSKiller.log ist mit 128 KB leider zu groß. Die versuch ich dir nochmal getrennt zu posten.

coolffm 07.08.2013 01:10
so...hier nochmal die TDSSKiller.log komprimiert im Anhang.

markusg 07.08.2013 11:37
hi,
konfiguriere es wie eben.
suche dann den Fund:
Virus.Win64.ZAccess
wähle bitte cure. starte neu, poste ein neues TDSS-Killer Log nach oben genannter Konfig.

coolffm 07.08.2013 17:21
hi,
habe jezt in der TDSSKiller-datei in der von dir angegebenen Zeile den letzten Begriff skip durch cure ersetzt, gespeichert und poste es dir erneut zu. hoffe mal das war das was du meintest.

markusg 07.08.2013 17:23
Hi,
meinte ich :-)
starte aber mal neu, und konfiguriere den TDSS Killer nach der Anleitung von seite 1, dann poste ein neues TDSS Killer Log.

coolffm 07.08.2013 20:22
ok...hab jetzt die tdsskiller.exe laufen lassen und hab am ende statt skip dann cure gewählt und reboot gemacht. der nur eine infizierte datei gefunden (suspicious object, medium risk). Eine log datei hab ich jetzt nirgends gefunden bzw. es wurde keine abgelegt. Allerdings erscheint ein report wenn man das anklickt.
Soll ich dir den inhalt der report-datei posten ?

markusg 07.08.2013 20:28
Hi
ja, wo das Log zu finden ist, steht ja auch in der Anleitung und du hast ja bereits 2mal eins gepostet...

coolffm 09.08.2013 15:13
so ist das mit den anfängern ;) ...hier nochmal die letzte Log komprimiert im Anhang.

markusg 09.08.2013 15:17
Programm leider nich nach anleitung konfiguriert, bitte noch mal

coolffm 09.08.2013 16:58
so..hier nochmal die Log komprimiert. Leider gibt es jetzt dort keinerlei wahlmöglichkeiten mehr (skip oder cure). man kann nur noch auf "start scan" gehen. hoffe diesmal ist es richtig.

markusg 09.08.2013 17:11
Und wieder nicht nach anleitung, ich poste sie jetzt noch mal.
lies jetzt gründlich und konfiguriere wie beschrieben.
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

coolffm 11.08.2013 13:23
ok...habe alles ausgeführt wie beschrieben. hier die komprimierte Log im Anhang.

markusg 12.08.2013 14:51
Wunderbar!
Es sind 4 Logs zu erstellen, möglichst gleichzeitig posten.
1.
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Neustarten.
2.
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

neustarten
3.

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


neustarten.
4. Hitmanpro laden:
HitmanPro - Download - Filepony

Doppelklicken, Scan klicken.
Log speichern und posten, bzw als XML exportieren, packen und anhängen
Nicht auf weiter klicken, Programm schließenb


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131