Hallo liebe tb community,

wie viele andere auch, habe ich mir wohl einen Virus eingefangen. Die Symptome sind, dass sich MSE nicht aktivieren lässt (ein rotes Häuschen bleibt), dass nicht auf die Firewalleinstellungen zugegriffen werden kann, die Systemwiederherstellung klappt nicht (man kann zwar einen Punkt auswählen, nach dem Neustart steht jedoch "konnte nicht durchgeführt werden. Es wurden keine Änderungen an ihrem System vorgenommen.). Bevor ich MB drüber hab laufen lassen, öffnete Firefox auch noch Spamseiten, die es aber sofort geblockt hat, weil diese als angreifende Seiten gemeldet wurden. Der Log von MB

Zitat:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.20.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Dominik :: DOMINIK2 [Administrator]

20.09.2012 13:43:48
mbam-log-2012-09-20 (13-43-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 253934
Laufzeit: 34 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FoxTab MOV Converter (Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-1409082233-57989841-725345543-1003\$bf99ac2231648b6c22bd456fc2409bb6\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
C:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Downloads\MovConverterSetup.exe (Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5ZHMKEG0\tiogoocu[1].gif (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\FoxTabMOVConverter\Uninstall\Uninstall.exe (Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$bf99ac2231648b6c22bd456fc2409bb6\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1409082233-57989841-725345543-1003\$bf99ac2231648b6c22bd456fc2409bb6\n (Trojan.0Access) -> Löschen bei Neustart.
C:\System Volume Information\_restore{7B1D40E6-B581-495B-8592-02D6F16F2644}\RP425\A0070849.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{7B1D40E6-B581-495B-8592-02D6F16F2644}\RP425\A0070855.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Löschen bei Neustart.

(Ende)

in einem anderen Thread hatte jemand ein ähnliches, vielleicht sogar gleiches Problem, http://www.trojaner-board.de/120666-...x80070424.html , ich weiß nur nicht, wo man den ESET Online Scanner downloadet, bitte Link mitangeben.

Vielen Dank für eure Mühen,

Dominik


PS: wenn es ein größeres Problem werden sollte, kann ich den PC auch gerne neu aufsetzen, mach ich ca. 1/Monat (für 10 andere Leute, die noch weniger Ahnung haben und mich).

hi
wenn du oninebanking machst, rufe die bank an lasse es wegen zero access rootkits sperren.
da man dieses nicht mit 100 %iger sicherheit los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo,

nein, onlinebanking betreibe ich nicht, da es mir einfach zu unsicher ist. Datenrettung mache ich dann mithilfe einer externen Festplatte, da wird es sich "nur" um rund 100GB handeln. Treiber und Programme hole ich mir nachher wieder per CDs und Inet (Chip.de lässt grüßen).
Ich hab btw. sogar 2 original Windows 7 CDs, nur ist auf meinem Laptop ein original XP drauf, und da der nur 2GB Ram hat, hab ich vor, es dort auch wieder drauf zu machen, da ich mir nicht noch eine 3te Originalversion kaufen möchte.

Was mich ein bisschen schockiert ist, dass du meinst, ich solle mein Passwort ändern. Ich hab, leider leider, eine Art Masterpasswort, was ich für sehr viele Sachen verwende, mal abgesehen von Bankgeschäften. Muss ich dass jetzt also ÜBERALL ändern? Das wäre dann schon ein größerer Arbeitsaufwand als den Lappi neu aufsetzen...

wo könnte ich mir denn das eingefangen haben, und WAS hab ich überhaupt genau? schonmal und einen schönen Abend

also, wenn man mal nen bisschen nachdenkt, ist nen master passwort, sorry, eine bescheuerte idee.
überleg mal, wenn jemand das passwort rausfindet, kommt er überall drann.
ne xp cd hast du?
wo du es dir eingefangen hast, kann ich dir nicht sagen, du hast aber zero access rootkit