Trojaner-Board - GVU-Trojaner hat mich auch erwischt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner hat mich auch erwischt (https://www.trojaner-board.de/125866-gvu-trojaner-hat-mich-erwischt.html)

GVU-Trojaner hat mich auch erwischt

HUhu, leider hat auch mich der GVU-Trojaner getroffen.... bzw meinen Rechner. Derzeit habe ich auch wieder Zugriff auf meinen Rechner, aber die Frage ist wie lange.

Auf viele Ordner wie 'Dateien und Einstellungen' 'Startmenu' habe ich nach wie vor keinen Zugriff. Weder mit meinem Admin-Ac noch mit dem Benutzerkonto.

Hier das Ergebnis vom QuickScan:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.19.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Administrator :: SORAYABLUE-PC [Administrator]

19.10.2012 03:32:24
mbam-log-2012-10-19 (03-32-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 240633
Laufzeit: 8 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Sorayablue\AppData\Local\Temp\install_0_msi.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sorayablue\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Rootkit.TDSS.Crypt) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\fsvk.exe.exe (Worm.Zhelatin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sorayablue\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Anbei nun die Daten aus OTL und GMer.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Fullscan ist erledigt... und es wurde nichts mehr gefunden. Allerdings habe ich weiterhin keinen zugriff auf viele Ordner und weiss nicht wie ich daraufwieder zugreifen kann

Code:

 Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Database version: v2012.10.19.09
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19328

Sorayablue :: SORAYABLUE-PC [administrator]
 

19.10.2012 15:58:43

mbam-log-2012-10-19 (15-58-43).txt
 

Scan type: Full scan (C:\|)

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM

Scan options disabled: P2P

Objects scanned: 394591

Time elapsed: 1 hour(s), 28 minute(s), 46 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Das ist das alte Log, was ich schon mal am Anfang gepostet hat und das einzig andere, was ich habe.

Code:

 Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.19.01
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19328

Administrator :: SORAYABLUE-PC [Administrator]
 

19.10.2012 03:32:24

mbam-log-2012-10-19 (03-32-24).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 240633

Laufzeit: 8 Minute(n), 29 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 5

C:\Users\Sorayablue\AppData\Local\Temp\install_0_msi.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Sorayablue\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Rootkit.TDSS.Crypt) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\ProgramData\lsass.exe (Trojan.Delf) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Windows\System32\fsvk.exe.exe (Worm.Zhelatin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Sorayablue\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

nachfolgend die Daten aus dem ESET online scan....

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=78855d300e708742816b8130689ea70f

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-10-22 01:05:46

# local_time=2012-10-22 03:05:46 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=5892 16776573 100 100 0 188392882 0 0

# compatibility_mode=8192 67108863 100 0 105 105 0 0

# scanned=164503

# found=9

# cleaned=0

# scan_time=7836

C:\Users\Sorayablue\AppData\Local\Temp\jar_cache3774605693526015385.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\Local\Temp\jar_cache7541769562037677672.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\Local\Temp\jar_cache929977382566087865.tmp        a variant of Java/Exploit.CVE-2012-0507.DN trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\Local\Temp\NLHMBY        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\Local\Temp\V.class        probably a variant of Java/Exploit.CVE-2011-3544.BQ trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\63b952d2-36d62ea0        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\407e901c-20af9d75        Java/Exploit.CVE-2012-1723.AQ trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\77e8b55d-51cb57ae        Java/TrojanDownloader.OpenStream.NCO trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Sorayablue\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\79695068-61a4fa76        a variant of Java/Agent.DH trojan (unable to clean)        00000000000000000000000000000000        I

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)