GVU Trojaner "WINDOWSUNLOCKER"

[Jojo]

So hab mal wieder Zeit gefunden ;)
Es wurde beim Scan nichts gefunden!

Gruß

Jojo

[john.doe]

Moin Jojo,

dann brauche ich frische Logs von RSIT und OTL. Scheint ja wieder alles im Lot zu sein.

ciao, andreas

[Jojo]

So hier nun meine neuen Logs, hoffe, dass nun alles bereinigt ist.
Habe leider nun einen 2. Rechner mit GVU-Trojaner. Kann ich den hier dann auch posten?

Gruß

Jojo

[john.doe]

Moin Jojo,

Kann ich den hier dann auch posten?

Bitte neuen Thread aufmachen.

1.) Deinstalliere:

• Adobe Flash Player 10 ActiveX
• TDSSKiller

2.) Start => Ausfuehren => cmd (eintippeln) => OK

Zeile fuer Zeile eingeben und jeweils Enter druecken:

Code:

sc delete sptd
exit

3.) Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und waehlen "Als Administrator ausfuehren".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:Services
JavaQuickStarterService

:OTL
FF - user.js - File not found
[2012.07.21 11:29:30 | 004,731,392 | ---- | C] (AVAST Software) -- K:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.exe

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" =-

:Files
K:\ky45e3mg.exe
K:\TDSSKiller.2.7.48.0_27.07.2012_21.17.23_log.txt
K:\Dokumente und Einstellungen\Administrator\Desktop\TDSSKiller.exe

:Commands
[clearallrestorepoints]
[emptytemp]

• Schliesse alle Programme.
• Klicke auf Fix.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachtraeglich kannst Du das Logfile hier einsehen
  => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis fuer Mitleser: Obiges OTL-Script ist ausschliesslich fuer diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schaedigen!

4.) Wie geht es dem Rechner, noch irgendwelche Auffaelligkeiten oder Probleme?

ciao, andreas

[Jojo]

1.) Deinstalliere:

Adobe Flash Player 10 ActiveX (erledigt)
TDSSKiller (erledigt)

2.) Wenn ich "sc delete sptd" eingebe kommt "Der angegebene Dienst ist kein installierter Dienst."

3.) Mit OTL gefixt (erledigt)

Code:

All processes killed
========== SERVICES/DRIVERS ==========
Service JavaQuickStarterService stopped successfully!
Service JavaQuickStarterService deleted successfully!
========== OTL ==========
K:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\CTFMON.EXE deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | 0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{26A24AE4-039D-4CA4-87B4-2F83216018FF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{26A24AE4-039D-4CA4-87B4-2F83216018FF}\ not found.
========== FILES ==========
File\Folder K:\ky45e3mg.exe not found.
K:\TDSSKiller.2.7.48.0_27.07.2012_21.17.23_log.txt moved successfully.
K:\Dokumente und Einstellungen\Administrator\Desktop\TDSSKiller.exe moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 6060963 bytes
->Temporary Internet Files folder emptied: 439610 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 171807551 bytes
->Flash cache emptied: 939 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
User: Ich_Selber
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 346656 bytes
 
Total Files Cleaned = 170,00 mb
 
 
OTL by OldTimer - Version 3.2.49.0 log created on 07302012_191747

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

4.) Rechner verhält sich wieder so wie vor dem Befall.

Gruß

Jojo

[john.doe]

Hallo Jojo,

1.) Aufraeumen mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

2.) Lesenswerte Blogeinträge zum Thema Absicherung

Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Virenscanner?
Kompromittierung unvermeidbar?

Du bist entlassen.

ciao, andreas

[Jojo]

Hallo Andreas,

Vielen Dank! Computer ist jetzt aufgeräumt :)
Wäre verloren gewesen ohne deine Hilfe!!
Könntest du mir bei meinem 2. Virus-Befall auch weiter helfen?

http://forum.botfrei.de/showthread.p...Virus-die-2-te

Gruß

Jojo

[john.doe]

Hallo Jojo,

Könntest du mir bei meinem 2. Virus-Befall auch weiter helfen?

Nein, tut mir leid. Habe zu viele offene Faelle.

ciao, andreas

[Jojo]

Hallo Andreas,

ok, dann nochmals vielen Dank für die Hilfe!

Gruß

Jojo

[john.doe]

Gerne und bleibe botfrei.

ciao, andreas