Trojaner-Board - GVU Trojaner - PC gesperrt - defogger + OTL-Log angehängt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner - PC gesperrt - defogger + OTL-Log angehängt (https://www.trojaner-board.de/123427-gvu-trojaner-pc-gesperrt-defogger-otl-log-angehaengt.html)

GVU Trojaner - PC gesperrt - defogger + OTL-Log angehängt

Habe mir leider auch den Bundestrojaner eingefangen.

Anbei die Logs von Defogger und OTL.

Vielen Dank für eure Hilfe :)

Edit: Habe den OTL Scan als Quick-Scan (nicht als Admin ausgeführt, Scanne alle Benutzer-Kästchen war nicht aktiviert) (gemäß Schritt 2 des Threads "an alle Hilfesuchenden"). Falls das nicht ausreichend ist, bitte ich um kurzen Hinweis.

Benutze Windows 7

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Vielen Dank für die schnelle Antwort!

Sorry für die blöde Frage, aber wie kann ich den ESET-Scanner starten, wenn ich den Laptop vom Internet trennen musste, da er ansonsten durch den Trojaner gesperrt ist? Oder erledigt sich das nach dem Malwarebytes-Scan?

Edit: ist es für die Scans nötig, andere Schutzprogramme zu deaktivieren?

Anbei schonmal den Log von Malwarebytes:

Code:

 2012/09/05 18:40:55 +0200        *** MESSAGE        Starting protection
 

2012/09/05 18:41:01 +0200        ***        MESSAGE        Protection started successfully
 

2012/09/05 18:41:04 +0200        ***        MESSAGE        Starting IP protection
 

2012/09/05 18:41:06 +0200        ***        MESSAGE        IP Protection started successfully

und

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.03.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

MAK :: *** [Administrator]
 

Schutz: Aktiviert
 

05.09.2012 18:43:51

mbam-log-2012-09-05 (18-43-51).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 338278

Laufzeit: 1 Stunde(n), 21 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Vielen Dank

Edit2: Die Malwarebyte-Scans wurden mit aktiviertem Avira durchgeführt

Zitat:

Edit2: Die Malwarebyte-Scans wurden mit aktiviertem Avira durchgeführt

Hat Avira aufgeheult während Malwarebytes am Scannen war?

Code:

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Hast du selbst mal im Sicherheitscenter was verstellt? Diese Einstellungen können durchaus gewollt sein

Zitat:

Sorry für die blöde Frage, aber wie kann ich den ESET-Scanner starten, wenn ich den Laptop vom Internet trennen musste, da er ansonsten durch den Trojaner gesperrt ist? Oder erledigt sich das nach dem Malwarebytes-Scan?

Ausprobieren! Evtl auch abgesicherter Modus mit Netzwerktreibern!

Zitat:

Zitat von cosinus (Beitrag 909345)

Hat Avira aufgeheult während Malwarebytes am Scannen war?

Ja, einmal. Ich bin momentan leider nicht zu Hause, so dass ich dir weder die genaue Meldung, noch ein evtl. Avira-Log (?) posten kann. Falls das für dich hilfreich wäre, sag mir bitte Bescheid, dann kümmere ich mich heute Abend noch drum.

Zitat:

Zitat von cosinus (Beitrag 909345)

Hast du selbst mal im Sicherheitscenter was verstellt? Diese Einstellungen können durchaus gewollt sein

Der Computer wird gemeinschaftlich genutzt, von mir selber nur selten. Insofern weiß ich von keinen bewussten Einstellungen. Wenn es relevant ist, gilt aber dasselbe wie oben, ich würde mich erkundingen und mich dann nochmal melden. Gib mir bitte wieder kurz Bescheid.

Ansonsten melde ich mich heute Abend mit dem ESET-Log (falls es klappt) und der genauen Avira-Meldung.

Vielen Dank und Grüße!

Edit:

Anbei erstmal das Logfile vom ESET-Scan, die Durchführung ging im abgesicherten Modus problemlos:

Code:

 

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=540fa8b1d0b00a4fa1462e14b8e0c318

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-09-06 07:43:40

# local_time=2012-09-06 09:43:40 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777179 100 0 18874329 18874329 0 0

# compatibility_mode=8192 67108863 100 0 139 139 0 0

# scanned=67127

# found=15

# cleaned=0

# scan_time=2363

C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\e115f97-22534a94        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\684ff24e-79fbc5fb        Java/Exploit.CVE-2012-0507.CK trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\788cfa17-35ed6a6e        a variant of Java/Exploit.CVE-2012-0507.BU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\539ba683-31f9596b        Java/Exploit.CVE-2012-0507.BZ trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\63293ce2-5079e4d3        Java/Exploit.CVE-2012-1723.BR trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\181260a9-5b1bc2ef        Java/Exploit.Agent.NBC trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\56f7412f-483acfde        Java/Exploit.CVE-2012-0507.CU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\c267035-6e808c30        Java/Exploit.CVE-2012-0507.CR trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\2b0a2939-2cb26d75        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\3a1b4af9-32ad3af4        Java/Exploit.CVE-2012-0507.BW trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\423cf3c7-4701df37        Java/Exploit.CVE-2012-0507.CG trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Lokale Einstellungen\Temp\jar_cache2173602687927930556.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Lokale Einstellungen\Temp\roper0dun.exe        a variant of Win32/Kryptik.ALMK trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O84JY7TQ\movpod-300x250-default[1].html        HTML/ScrInject.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Anton\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T0O2PXU2\gorillavid-300x250-gunggo-default[1].html        HTML/ScrInject.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

Dazu noch die Avira-Meldung, die währed des Malwarebytescans aufgepoppt ist (habe die Datei in die Quarantäne gepackt, hoffe das war ok):

Code:

 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IES\1UGGTGOK\main[1].htm enthält Erkennungsmuster des Java-Scriptvirus JS\Expack.XI.1

Bzgl. des evtl. veränderten Sicherheitseinstellungen hab ich leider noch keine Neuigkeiten.

Viele Grüße!

Edit2: Sorry für die misslungenen Code-Zitierungen, aber irgendwie find ich die Edit-Möglichkeit nicht...

Hab den Beitrag nicht mehr auf dem Schirm gehabt, weil du nachträflich die Logs hineineditiert hast. Das erzeugt in meiner Abolite keinen neuen Beitrag bzw. keine neue Antwort und ich glaubte deswegen so, dass du bisher noch nicht mit weiteren Logs dienen kannst. Deince CODE-Tags hab ich korrigiert - verwechsel bitte nicht den Backslash "\" mit dem normalen Slash "/"

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)