Hallo liebe Community!

Als Virenbekämpfer-Neuling brauch ich eure Hilfe!

Ich hab mir vor ein paar Tagen offenbar diesen Trojaner eingefangen. Die Symptome sind:

• Der Ordner "Eigene Dateien" (bei mir heißt der wie ich "Jan") sieht auf den ersten Blick leer aus, obwohl er laut Eigenschaften diverse GB Platz belegt.
• Das gleiche gilt für die Festplattenpartition "F". Das Verzeichnis sieht leer aus, ist aber mit 14 GB belegt. Das auf dieser Partition installierte Spiel "Pro Evolution Soccer" lässt sich über die CD problemlos starten. Nur das Speichern von Zwischenständen hat Fehlermeldungen zur Folge.

AntiVir meldete zwei Trojaner:

• TR/Kazy.mekmel.1
• TR/FakeSysdef.A.429

Ich habe Malwarebytes-Anti-Malware und OTL laufen lassen. Die entsprechenden Reports hab ich angehängt.

Während des Scans durch Malwarebytes meldete sich AntiVir erneut:

• TR/Crypt.XPACK.Gen3

Ich hoffe, Ihr könnt mir helfen. Vielen Dank schonmal im Vorraus!

Grüße, Jan.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo und vielen Dank für die erste Antwort

Ich hatte gestern nochmal die ganze Prozedur durchgespielt, diesmal mit malwarebytes-Vollscan (vorher auch aktualisiert). Die Log-Files von gestern hab ich angehängt. Die alten (vom 23.04.) sind ja in meinem ersten Post. Ich hoffe, damit kannst du/könnt ihr was anfangen.

Meine anderen Aktivitäten:

Ich habe zwischenzeitlich die "verschwundenen" Ordner und Dateien wieder sichtbar gemacht, allerdings ohne Hilfsprogramm, sondern "zu Fuß" über die Ordneroptionen.

Aviras AntiVir hat sich regulär geupdatet.

Beim PC-Start gerade eben kam eine Meldung, das der Autostart von Malwarebytes geblockt wurde. Muss ich da irgendwas ändern?

Grüße, Jan.

Bitte umgehend ZoneAlarm deinstallieren, das Teil ist sinnlos bis kontraproduktiv - verwende die Windows-Firewall. Mach danach frische OTL-Logs.

Sooo... ZoneAlarm deinstalliert, Neustart und Windows-Firewall aktiviert.

Frische OTLs siehe unten

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\Shell\AutoRun\command - "" = G:\autorun.exe
O33 - MountPoints2\{61126848-1eeb-11df-a4b0-001a4d5a161e}\Shell\AutoRun\command - "" = H:\Toshiba\more4you.exe
:Files
C:\ProgramData\4*
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

OTL Fix ausgeführt.
Beim ersten Versuch stürzte das Programm nach längerer Zeit ab.
"... hat ein Problem verursacht. Online nach Lösung suchen oder Schließen..."
Programm geschlossen. Der Bildschirm blieb schwarz, so hab ich den Rechner über den Task-Manager neugestartet, und OTL Fix ein zweites Mal ausgeführt. Diesmal gings sehr schnell.

Im Ordner ".../_OTL/Moved Files" sind zwei Unterordner:
- 04262011_213558
- 04262011_215457

Eine Log-File zum ersten Versuch (Ordner 04262011_213558) existiert leider nicht.
Der Inhalt sieht so aus:
.../C/"autoexec"
.../C_ProgramData/"46522120"
.../C_Windows/System32/drivers/etc/"hosts"

Der Inhalt des zweiten Versuchs (Ordner 04262011_215457):
.../C_Windows/System32/drivers/etc/"hosts"

Log-File des zweiten Versuchs:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
File G:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{61126848-1eeb-11df-a4b0-001a4d5a161e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61126848-1eeb-11df-a4b0-001a4d5a161e}\ not found.
File H:\Toshiba\more4you.exe not found.
========== FILES ==========
File\Folder C:\ProgramData\4* not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Jan
->Temp folder emptied: 53408 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7533481 bytes
->Flash cache emptied: 456 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60805 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04262011_215457

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Gesagt, getan...
Habe das Tool von Kaspersky installiert und ausgeführt. Offensichtlich hat das Ding nix gefunden (Log siehe unten).

Dann habe ich mit der unhide.exe alles wieder sichtbar gemacht.

Schließlich habe ich (wie in dem verlinkten Kaspersky-Thread beschrieben) Malwarebytes nochmal seine Arbeit (Vollscan) machen lassen. Ergebnis: auch nix (Log siehe unten).

Ich hoffe, die Reihenfolge war richtig

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.