Hab ich den Facebook-Trojaner noch immer?

Mc.Luz

Hallo zusammen
Habe mir gestern abend den Facebook-Trojaner gezogen
Dieser kam mit folgedem Link: hxxp://www.dekieviten.nl/images/gallery.php?image=IMG05252186.JPG

Ich war so doof draufzuklicken und die Datei zu downloaden. Allerdings hat mich mein Rechner (Win7 64Bit) gefragt, ob ich den Bildschirmschoner installieren möchte. Was ich dann mit blassem Gesicht verneint habe. Allerdings bekam ich diese Meldung nicht mehr weg. Sie poppte immer wieder auf. Selbst nach einem Neustart war sie noch da.

Daraufhin habe ich Malwarebytes geladen und durchgeführt.
Hier der Log dazu:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7968

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

17.10.2011 23:18:16
mbam-log-2011-10-17 (23-18-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 472694
Laufzeit: 1 Stunde(n), 16 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
c:\Users\matthiasluz\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 3228 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Backdoor.IRCBot) -> Value: Microsoft® Windows Update -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\matthiasluz\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-3145880589-450910595-4034615037-1000\$RIF8GYG.scr (Backdoor.Bot) -> No action taken.
c:\program files (x86)\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\program files (x86)\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> No action taken.
c:\program files (x86)\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> No action taken.
c:\Users\matthiasluz\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\78GAYDEJ\ok[1].exe (Backdoor.IRCBot) -> No action taken.
c:\Users\matthiasluz\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\KQ3BFUEU\g[1].exe (Backdoor.IRCBot) -> No action taken.
c:\Users\matthiasluz\AppData\Local\Temp\1650688.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\matthiasluz\AppData\Local\Temp\71087.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\matthiasluz\AppData\Local\Temp\9964196.exe (Backdoor.IRCBot) -> No action taken.
c:\Windows\System32\sed.dll (Trojan.Koobface) -> No action taken.
c:\Windows\SysWOW64\sed.dll (Trojan.Koobface) -> No action taken.

Danach die Dateien gelöscht und nach Neustart noch mal ausgeführt.
Hier der Log:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7968

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.10.2011 00:15:21
mbam-log-2011-10-18 (00-15-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 356384
Laufzeit: 50 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

AntiVir hat das hier gefunden:
Beim Zugriff auf Daten der URL "hxxp://ad.doubleclick.net/adj/ns.windowssecurity/general;net=ns;u=,ns-10322424063_1318890202,12337bd3490eda4,itsesecu,;;ppos=atf;kw=;tile=1;sz=970x90;net=ns;cmw=owl;contx=itsesecu;dc=w;btg=;ord=3118114144029206??"
wurde ein Virus oder unerwünschtes Programm 'HTML/Afriem.P' [virus] gefunden.
Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

Momentan läuft noch der vollständige Scan.
Natürlich hängt mir nun der Arsch trotzdem auf Grundeis, das der/die Trojaner noch immer da sind.
Was kann/soll ich tun um sicher zu sein?
Einige Passwörter hab ich geändert, aber das beruhigt net wirklich!

Ich habe 3 Platten eingebaut. Unter "C" läuft Windows und alle weitere Software.
Bilder und MP3 sind separat und Daten auch.
Greift hier der Trojaner auch an? Oder sind die Daten, da ja getrennt vom System, sicher?

Das System läuft Fehlerfrei. Mir fällt nichts ungewöhnliches auf. Auch die besagt Meldung taucht nicht mehr auf.
Ausnahme: Der Task-Manager zeigt mir unter Prozesse "csrss.exe" und "winlogon.exe" an. Bei beiden ist keine Aktion durchführbar.

Bin dankbar für eure Hilfe!
LG
Mc.Luz

Habe mittlerweile noch mal Malwarebytes laufen lassen:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7971

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.10.2011 11:33:16
mbam-log-2011-10-18 (11-33-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 473238
Laufzeit: 1 Stunde(n), 10 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

AntiVir sagt folgendes:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 18. Oktober 2011 00:28

Es wird nach 3403061 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : MatthiasLuz
Computername : MATTHIASLUZ-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 10:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 10:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 10:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 10:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 05:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:10:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:10:06
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 10:10:07
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 14:14:04
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 11:07:58
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 11:07:58
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 11:07:58
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 11:07:58
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 11:07:58
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 11:07:58
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 11:59:04
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 15:05:06
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 08:51:53
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 21:18:49
VBASE017.VDF : 7.11.16.2 2048 Bytes 14.10.2011 21:18:49
VBASE018.VDF : 7.11.16.3 2048 Bytes 14.10.2011 21:18:49
VBASE019.VDF : 7.11.16.4 2048 Bytes 14.10.2011 21:18:49
VBASE020.VDF : 7.11.16.5 2048 Bytes 14.10.2011 21:18:49
VBASE021.VDF : 7.11.16.6 2048 Bytes 14.10.2011 21:18:49
VBASE022.VDF : 7.11.16.7 2048 Bytes 14.10.2011 21:18:49
VBASE023.VDF : 7.11.16.8 2048 Bytes 14.10.2011 21:18:49
VBASE024.VDF : 7.11.16.9 2048 Bytes 14.10.2011 21:18:49
VBASE025.VDF : 7.11.16.10 2048 Bytes 14.10.2011 21:18:49
VBASE026.VDF : 7.11.16.11 2048 Bytes 14.10.2011 21:18:49
VBASE027.VDF : 7.11.16.12 2048 Bytes 14.10.2011 21:18:49
VBASE028.VDF : 7.11.16.13 2048 Bytes 14.10.2011 21:18:49
VBASE029.VDF : 7.11.16.14 2048 Bytes 14.10.2011 21:18:49
VBASE030.VDF : 7.11.16.15 2048 Bytes 14.10.2011 21:18:49
VBASE031.VDF : 7.11.16.29 121856 Bytes 17.10.2011 22:24:03
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 05:52:30
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 05.10.2011 11:08:02
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 05:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 10:07:25
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 09:04:41
AEPACK.DLL : 8.2.10.11 684408 Bytes 23.09.2011 07:03:34
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 16.09.2011 09:14:52
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 14.10.2011 21:18:49
AEHELP.DLL : 8.1.17.7 254327 Bytes 15.08.2011 11:29:40
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 15:20:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 15:20:22
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 10:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 10:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 10:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 10:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 10:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 18. Oktober 2011 00:28

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNMNSUT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '151' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP>
Beginne mit der Suche in 'D:\' <Bilder & Musik>
Beginne mit der Suche in 'E:\' <Daten>


Ende des Suchlaufs: Dienstag, 18. Oktober 2011 02:06
Benötigte Zeit: 1:38:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

44950 Verzeichnisse wurden überprüft
955945 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
955945 Dateien ohne Befall
7575 Archive wurden durchsucht
0 Warnungen
0 Hinweise


Danach ESET durchgeführt.
Hier der Log dazu:

C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application
C:\Program Files (x86)\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll a variant of Win32/Adware.Toolbar.Dealio application
C:\Users\MatthiasLuz\wevtapi.dll Win64/Agent.AC trojan
C:\Users\MatthiasLuz\Downloads\speedupmypc.exe Win32/SpeedUpMyPC application
C:\Windows\Installer\6236a.msi a variant of Win32/Adware.Toolbar.Dealio application
E:\Matze\Daten\Programme gepackt\Nero 8\Nero-8.3.6.0_deu_trial.exe Win32/Toolbar.AskSBar application
Operating memory a variant of Win32/Adware.Toolbar.Dealio application


Sieht für mich ganz gut aus ...
Aber das mieße Gefühl bleibt

Wäre für eine Antwort oder KOntakt MEGA-Dankbar!

LG
Mc.Luz