Hallo zusammen,
seit einigen Tagen kann ich von meinem Rechner nicht mehr die Login-Seite von comdirect aufrufen (System WindowsXP SP3, Browser Firefox und IE, beide aktuell). Bei meinen Recherchen bin ich dann darauf gestoßen, dass ein Virus/Trojaner ursächlich sein könnte. Daraufhin habe ich Malwarebyte installiert und suchen lassen. Das Ergebnis bzw. die Log-Datei:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.14.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jens :: HOERNI [Administrator]

14.10.2012 22:41:27
mbam-log-2012-10-14 (22-48-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229483
Laufzeit: 5 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{50CEA2D9-462E-AD7F-5BA9-4730709F6422} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Cipit\ahmih.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Cipit\ahmih.exe (Trojan.ZbotR.Gen) -> Keine Aktion durchgeführt.

(Ende)




Nun meine Frage: Wie mache ich weiter? Ich bin dankbar für jeden Tipp. Ich habe bisher noch nichts unternommen, d.h. keine Datei gelöscht/verändert.

Danke im voraus für Eure Hilfe,
HoerniII

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo cosinus,
vielen Dank für die prompte Antwort. Ich hatte direkt nach dem einfachen Scan schon einen vollständigen Gemacht - danach waren die 60 min. zum Bearbeiten des Eintrags leider schon vorbei.... Nun hier also das Ergebnis des vollständigen Scans:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.14.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: *** [Administrator]

14.10.2012 23:22:21
mbam-log-2012-10-14 (23-22-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|M:\|N:\|O:\|P:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 450303
Laufzeit: 1 Stunde(n), 34 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{50CEA2D9-462E-AD7F-5BA9-4730709F6422} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Cipit\ahmih.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
N:\Anlagen\ComputerSchock.exe (PUP.Joke.Schock) -> Keine Aktion durchgeführt.
N:\Anlagen\Langeweile.exe (PUP.Joke.Buttons) -> Keine Aktion durchgeführt.
N:\Anlagen\Langeweile1_1.exe (PUP.Joke.Langeweile) -> Keine Aktion durchgeführt.
N:\PCInspctorI\cluster 1161117.EXE (PUP.Joke.Schock) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{04711DCC-82FD-4F78-B461-0C2CCDDACA65}\RP540\A0076597.exe (Backdoor.Bot.citdl) -> Erfolgreich gelöscht und in Quarantäne gestellt.
O:\Sonstiges\CloneCD 4\CloneCD 4 Keygenerator.EXE (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Q:\Brenner\CloneCD 4\CloneCD 4 Keygenerator.EXE (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Cipit\ahmih.exe (Trojan.ZbotR.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Ich hoffe, dass das mit der Darstellung in CODE so funktioniert.

Auch das Ergebnis eines alten Scans (nicht vollständig) habe ich noch gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.14.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: *** [Administrator]

14.07.2012 23:43:53
mbam-log-2012-07-14 (23-43-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 232092
Laufzeit: 2 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Daten: hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Jens\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Für weitere Unterstützung bin ich dankbar.
Mit den besten Grüßen,

HoerniII

Code: Alles auswählenAufklappen

ATTFilter

O:\Sonstiges\CloneCD 4\CloneCD 4 Keygenerator.EXE (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Q:\Brenner\CloneCD 4\CloneCD 4 Keygenerator.EXE (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Hallo cosinus,
vielleicht sehen Sie mir meine Jugendsünden nach. Vor Jahr(zehnt)en habe ich vielleicht kurz damit experimentiert, dachte mir beim Posten des Logfiles schon, dass man wenig amüsiert reagieren würde. Aber der Vollständigkeit halber...

Für mich selbst also ein

und für Sie und das Team vom Trojaner-Board ein

- vielen Dank für die Unterstützung!

Mit den besten Grüßen,
HoerniII

P.S.: Immerhin funktioniert die comdirect-Login-Seite wieder...

Hilfe gibt es noch bei der Datensicherung und Neuinstallation von Windows