Trojaner-Board - Mehrere Viren anscheinend auf meinen PC TR/Gendal und TR/ATRAPS

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mehrere Viren anscheinend auf meinen PC TR/Gendal und TR/ATRAPS (https://www.trojaner-board.de/140079-mehrere-viren-anscheinend-meinen-pc-tr-gendal-tr-atraps.html)

Mehrere Viren anscheinend auf meinen PC TR/Gendal und TR/ATRAPS

Hallo liebes Forum,
ich habe ein ich weiss nicht wie großes Problem.
Als ich vorher gesurft bin hat sich ein Popup Fenster geöffnet und kurz danach bekam ich von Avira die Meldung, dass mehrere Viren auf meinem PC sind!
Ich habe sie alle in Quarantäne verschoben aber Avira und das Windows-Sicherheitscenter lassen sich jetzt auch nicht mehr anschalten.

Die Viren sind:

Zitat:

Typ: Datei
Quelle: C:\Users\Johannes\AppData\Local\Google\Desktop\Install\{930aef5e-db2d-7278-4464-303b19d462f4}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{930aef5e-db2d-7278-4464-303b19d462f4}\U\80000000.@
Status: Infiziert
Quarantäne-Objekt: 57aa7fe0.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.106
Virendefinitionsdatei: 7.11.97.36
Meldung: TR/Gendal.15360
Datum/Uhrzeit: 19.08.2013, 10:11

und

Zitat:

Typ: Datei
Quelle: C:\Users\Johannes\AppData\Local\Google\Desktop\Install\{930aef5e-db2d-7278-4464-303b19d462f4}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{930aef5e-db2d-7278-4464-303b19d462f4}\U\80000064.@
Status: Infiziert
Quarantäne-Objekt: 1e9d3507.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.106
Virendefinitionsdatei: 7.11.97.36
Meldung: TR/ATRAPS.Gen2
Datum/Uhrzeit: 19.08.2013, 10:06

Avira hat die Viren beide mehrmals gefunden.

Frage:
Was soll ich jetzt machen.
Natürlich habe ich sie in Quarantäne verschoben und bin im Moment im abgesicherten Modus.
Aber der Virus ist bestimmt noch auf dem PC.

Daten:
Ich habe Windows 7 Professional mit 64Bit und ServicePack1.

Viele Grüße
Johannes1098

:hallo:

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Solltest du mir nicht innerhalb von 4 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Servus,

da hast du dir ja was eingefangen...

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, da sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Solltest du dich für eine Bereinigung entschieden haben, beginnen wir folgendermaßen:

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Bitte poste mit deiner nächsten Antwort

die beiden Logdateien von FRST,
die Logdatei von TDSS-Killer.

OK.
Hier ist die FRST.txt

Und die Addition.txt

Und das Ergebnis von TDSSKiller:

Sie war zu groß deswegen das .rar Verzeichnis.

Ich bitte um Verständnis

Servus,

von dir installiert?

Zitat:

C:\ProgramData\rvlkl\rvlkl.exe (Logixoft)

Ja, dies habe ich selber installiert.

Servus,

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

C:\Users\Johannes\AppData\Local\Google\Desktop\Install\{930aef5e-db2d-7278-4464-303b19d462f4}

end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Starte deinen rechner neu, dieses mal aber bitte im normalen Modus.
Führe im normalen Modus bitte die folgenden Schritte aus.

Schritt 3
Kontrollscan mit FRST und TDSS-Killer
Führe wie zuvor beschrieben einen Scan mit FRST und TDSS-Killer aus.
Poste mir bitte wieder beide Logdateien davon.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei des FRST-Scans,
die Logdatei von TDSS-Killer.

Scan Ergebnisse von FRST und TDSS-Killer

Servus,

bevor es weitergeht noch eine Frage:

Zitat:

2013-08-19 10:22 - 2013-08-19 10:22 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware

Du hast MBAM bereits ausgeführt?

Wenn ja, poste bitte die Logdatei(en) dazu:
Bitte alle Logs mit Funden posten

Ich habe es installiert aber noch nicht (bewusst) ausgeführt.

Servus,

ok, dann folgendes:

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

HKCU\...\Run: [Google Update*] -  [x] <===== ATTENTION (ZeroAccess rootkit hidden path)

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rvlkl.lnk

ShortcutTarget: rvlkl.lnk -> C:\ProgramData\rvlkl\rvlkl.exe (No File)

C:\ProgramData\rvlkl

end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von MBAM,
die Logdatei von AdwCleaner,
die Logdatei von JRT.