Hallo Community,...

ich habe schon viel im Forum selbst gestöbert und mir konnte in der Vergangenheit durch lesen anderer Posts immer geholfen werden, was jedoch diesmal leider nicht der Fall ist und ich mich deshalb registriert habe...

Mein Problem wie im Thema beschrieben ist, dass ich mir einen Virus eingefangen habe in Facebook der willkürlich wohl gesendet wurde und xxx.allez-dax.de wohl beinhaltete. Es handelte sich um ein Skript und nicht um ein Bild wie ich nun leider nach dem öffnen festellen musste und mein PC ist nun voller Viren befallen, die auch Downloads verhindern oder willkürlich kein Internet zulassen... auch Facebookfreunde bekommen den Virus von mir...

Ich erhoffe mir nun Hilfe von erfahrenen Leuten, sodass mein System wieder als "bereinigt" angesehene werden kann und bedanke mich schonmal im Vorraus! Für Tips dann zur Beseitigung des Viruses wäre ich sehr dankbar!

Anbei natürlich der Vollscan von Malwarebytes und ich hab noch mit ESET Onlinescanner gescannt,....hier füge ich auch mal eine LOG Datei an!

LOG Datei Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7882

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2011 07:49:48
mbam-log-2011-10-06 (07-49-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227577
Laufzeit: 53 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> 1572 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 220 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> 1196 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> 2960 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\lvvm.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\1505504.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\6613999.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\2XPQIDHN\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\fu[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\gb[1].exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\m[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.

Und nun die LOG Datei von ESET

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=952c112a21f0344f974c6130fd6a6fc0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-06 06:03:55
# local_time=2011-10-06 08:03:55 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 58541943 58541943 0 0
# compatibility_mode=1797 16775125 100 100 48030 93391402 19006 0
# compatibility_mode=8192 67108863 100 0 260 260 0 0
# scanned=68867
# found=6
# cleaned=0
# scan_time=4943
C:\Dokumente und Einstellungen\user\Anwendungsdaten\conhost.exe a variant of Win32/Kryptik.TOL trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\1505504.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XPQIDHN\st[1].exe a variant of Win32/Kryptik.TOO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\fu[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\m[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I

Vielen Dank und Liebe Grüße!

hallo,
hast du zufällig noch den link, den du bekommen hast über facebook?
falls ja, kannst du mir diesen als private nachicht senden.
außerdem solltest du denjenigen der ihn dir gesendet hatt, + alle freunde informieren, jeder der das teil bekommen und geöffnet hatt, ist ebenfalls betroffen und muss wiederum seine freunde informieren usw.
sie können sich wenn sie hilfe suchen alle hier melden.

erst mal danke.
den link kannte ich schon und das file ist gelöscht.
du sagtest ja den laptop deines bekannten hatts "zerlegt" aber trotzdem müsst ihr alle leute informieren damit das andern nicht so geht.
du hast einen backdoor auf dem system, machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich, mit dem pc?

Hallo!

Kein Problem hab mich mit ihm abgesprochen und er informiert alle seine Leute genau wie ich die Leute die mich schon angeschrieben habe, bzw. hab an alle Leute eine Nachricht geschrieben das der Link nicht von mir kommt!

Desweiteren nutze ich den PC NICHT für Onlinebanking oder sonstiges, habe auch seitdem Befall gestern keinerlei passwörter eingegeben da ich angst vor einem Keylogger habe und halte mich überall zurück wo ich auch nur das kleinste sichere Passwort benötige!
Der PC wird lediglich ab und an halt für Facebook und zum Spielen genutzt!

ok.
otl:
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die
  OTL.exe
  
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
  Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan
  links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Alles klar werde ich machen sobald ich nachher zu Hause bin und dann die Meldung hier im Thread machen!

Danke schonmal für die Hilfe und bis dann!!

Es klappt irgendwie nicht so mit dem hochladen... hab die beiden Logs jetzt als .txt angehängt und hoffe das das auch in Ordnung ist... anders ging es leider nicht da ist jedes mal das Internet am Streiken gewesen!

Danke schomal für die HIlfe und sorry für die beiden anderen "SPAMS"

Hallo zusammen nochmal!

Ich bin sehr beunruhigt das ich seit Tagen nichts mehr gehört habe! Ist mir noch zu helfen oder muss ich das System sichern und neu aufsetzen?

sorry, ich hab das wohl leider echt übersehen!!
kannst du noch mal ne neue otl.txt erstellen und hochladen?

Kein Problem

Hier nochmal die Logs:

combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

So Combofix ist erfolgreich durchgelaufen: Hier die Logdatei:

nutze mal den tdss killer, log posten
http://www.trojaner-board.de/82358-t...entfernen.html

Hey Danke schonmal hat geholfen das Programm und es war einen Datei drauf, leider war ich zu schnell beim Beenden und konnte keine LOG durchführen jedoch ist ein TDSS Pack mit hohem Risiko entfernt worden und gestern abend sowie heute morgen war nichts mehr drauf, keine "Threats" mehr auf dem Rechner gefunden!

Ich bedanke mich schon mal sehr bei deiner HIlfe Markus

Kann ich davon ausgehen jetzt das ich wieder "clean" bin?

dann poste die tdss killer.txt die liegt direkt auf c:

Gut dann mach ich das mal :