Trojaner-Board - GVU Trojaner legt Geschäfts PC lahm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner legt Geschäfts PC lahm (https://www.trojaner-board.de/120474-gvu-trojaner-legt-geschaefts-pc-lahm.html)

ich kann Emisoft nicht installieren, weil das SP1 von Windows 7 nicht installiert ist, die Installation des SP1 klappt aber nicht!?

er sagt beim Installationsversuch:
Fehler:
Code 80073701 Unbekannter Fehler bei Windows Update

Hallo!

Gesagt getan. Anbei die AULOGS.

Gruß,
Bernd

Das Update lief durch, aber auch danach war der SP1 offensichtlich nicht installiert - zumindest moniert Emisoft das immer noch. AUch im System Bildschirm steht nach wie vor nur Windows 7 Home Premium
ohne den Zusatz SP 1

Code:

C:\Windows\system32>sfc /scannow
 

Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.
 

Überprüfungsphase der Systemsuche wird gestartet.

Überprüfung 100 % abgeschlossen.
 

Der Windows-Ressourcenschutz hat keine Integritätsverletzungen gefunden.
 

C:\Windows\system32>

Der nachfolgende Versuch, dann über Windows Updates das SP1 zu installieren ist aber leider immer noch mit dem gleichen Fehler fehlgeschlagen :(

Der ganze CBS Ordner ist leider zu groß als Attachment.

Gruß,
Bernd

Du wirst entweder neuaufsetzen oder ein sog. Inplace-Upgrade machen muessen.

Was ist dir lieber?

was ist denn für mich einfacher und schneller?
für ein inplace update bräuchte ich eine detaillierte anleitung, weil an sich noch ein paar scans ausstehen, oder soll ich nur der microsoft anleitung für inplace update folgen?

Sicherer: Neuaufsetzen

Schneller: Inplace Upgrade

Ja, folge der Microsoft Anleitung.

Hallo!

Inplace Update war erfolgreich,nun ist auch das SP1 installiert. Danach habe ich die Emisoft Malware installiert und ausgefuehrt. Hier ist das Log:

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 03.08.2012 15:28:28
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\, K:\, Q:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        03.08.2012 15:30:10
 

Key: hkey_classes_root\.vnc         gefunden: Trace.Registry.vnc.commoncomponents!E1

C:\Users\Bernd Jung\Pictures\Naturbilder\Erde\erde-nasa02.jpg         gefunden: JPG.IframeRef!E2

D:\zum Brennen freigegeben\DVD.1\Backup vom alten BERND\C_Programme\VNC\winvnc.exe         gefunden: Riskware.RemoteAdmin.Win32.WinVNC-based.AMN!E1

D:\zum Brennen freigegeben\DVD.1\Backup vom alten BERND\C_Programme\VNC\VNCHooks.dll         gefunden: RemoteAccess.Win32.TightVNC.AMN!E1

D:\zum Brennen freigegeben\DVD.1\Backup vom alten BERND\C_Programme\RealVNC\VNC4\wm_hooks.dll         gefunden: Riskware.RemoteAdmin.Win32.WinVNC.4!E1

D:\zum Brennen freigegeben\DVD.1\Backup vom alten BERND\C_Programme\RealVNC\VNC4\winvnc4.exe         gefunden: Riskware.RemoteAdmin.Win32.WinVNC.4110!E1

D:\Tools\nessi.exe         gefunden: Riskware.RemoteAdmin.Win32.WinVNC.i!E1

D:\download & installation\nessi.exe         gefunden: Riskware.RemoteAdmin.Win32.WinVNC.i!E1

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\a2.class         gefunden: Java.CVE!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\gui_e.class         gefunden: Exploit.Java.Blacole!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\F.class         gefunden: Exploit.Java.CVE-2012!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\gui_d.class         gefunden: Java.CVE!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b         gefunden: Trojan.Java.Exploit!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\gui_c.class         gefunden: Java.CVE!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\gui_b.class         gefunden: Trojan.Java.Exploit!E2

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-04 083345\Backup files 6.zip -> C\Users\Bernd Jung\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\48894250-5004aa3b -> gui_a\gui_a.class         gefunden: Exploit.Java.CVE-2012!E2

K:\mp3\Users\Bernd Jung\Pictures\Naturbilder\Erde\erde-nasa02.jpg         gefunden: JPG.IframeRef!E2

K:\mp3\Program Files (x86)\Free Offers from Freeze.com\16700.url         gefunden: Adware.Win32.Freeze!E1

K:\mp3\Program Files (x86)\Free Offers from Freeze.com\16714.url         gefunden: Adware.Win32.Freeze!E1

K:\mp3\Program Files (x86)\Free Offers from Freeze.com\16676.url         gefunden: Adware.Win32.Freeze!E1
 

Gescannt        1269153

Gefunden        20
 

Scan Ende:        03.08.2012 22:20:37

Scan Zeit:        6:50:27

Nach dem Verschieben in Quarantäne habe ich auf weiter geklickt, aber da hängt das Programm aktuell (zeigt auch in der Titelleiste das 'Reagiert nicht').

Soll ich den Malware Thread abbrechen?

Weiteres Vorgehen?

Gruss,
Bernd

Ausgezeichnet!

welche Anleitung hast du befolgt?

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen!

Hier das Ergebnis des ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e1be12898a15ae4d94f74c75cc7fb494

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-07 07:47:18

# local_time=2012-08-07 09:47:18 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 260699 95890937 0 0

# compatibility_mode=8192 67108863 100 0 88 88 0 0

# scanned=579140

# found=3

# cleaned=3

# scan_time=64550

D:\BERNDJUNG-PC\Backup Set 2012-02-13 101948\Backup Files 2012-06-17 190001\Backup files 1.zip        Java/Exploit.Agent.NCI trojan (deleted - quarantined)        00000000000000000000000000000000        C

D:\download & installation\FinalMediaPlayer2011Setup.exe        a variant of Win32/InstallIQ application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

D:\download & installation\SoftonicDownloader_fuer_fast-video-download.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Gruss,
Bernd

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Hallo!
Habe alles erledigt!
Was ist der nächste Schritt?

Danke!!
Bernd