Hi,

also das Ganze noch einmal von vorne...

Was setzt Du zum Surfen ein, Firefox oder IE?
Firefox wäre auf jeden Fall besser, mit den entsprechenden PlugIns versehen...

Bitte unter den Eltern einloggen und MAM updaten und laufen lassen,
und Dr. Web hinterher...

Dr. Web
http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html

Poste bitte mal noch das Hostfile:
Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Zusätzlich noch Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

Hey,

ich habe meinen Eltern erst am Wochenende firefox als browser draufgepackt. Die sind vorher immer über ihren geliebten t-online-browser ins Internet gegangen. Der TR, der sich auf der Seite mit eingeschränkten Benutzterrechten befindet, war aber auch schon am Samstag da drauf, als ich hier zum ersten Mal gepostet habe. Der ist also nicht neu. Der war zeitgleich mit TR\crypt... drauf. Der ist irgendwie unter gegangen. Hatte die AntiVir-Meldung dazu in den anderen Thread gepostet, als ich mich das erste Mal hier gemeldet habe. Sorry!

Der Scan mit MAM dauert noch an. Hab währenddessen versucht, die Datei, die du angegeben hast, in den editor zu packen. Wenn ich rechtsklicke, kann ich die leider an keinen editor senden. Kann ich das vlt. wieder nur von der Admin-Seite aus? Dann muss ich gleich erst wechseln nach dem Scan.

lg, irie

Soll ich, bevor ich Dr. Web laufen lassen, auch die Systemwiderherstellung deaktivieren?
Und: Silentrunner mit Adminrechten ausführen oder auch auf dem eingeschränkten Benutzerkonto?

Hallo,

die Systemwiederherstellung kannst Du mal deaktivieren ist aber vorerst nicht so wichtig (müssen nur am Schluß dran denken)...

Wenn senden an nicht geht, einfach mit rechtem Mausklick "Öffnen mit" dann als Programm den Editor auswählen, alles markieren und hier posten.

In Firefox noch folgende PlugIns installieren "WOT" (https://addons.mozilla.org/de/firefox/addon/3456) und "NoScript" (http://filepony.de/download-noscript/)...

Lass bitte auch mal den CCleaner laufen...
http://www.trojaner-board.de/51464-a...-ccleaner.html
chris

hey,

hier die ergebnisse von MAM. hat wohl nix gfunden. liegt vlt daran, weil sie bei antivir in der quarantäne sind?

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1947
Windows 5.1.2600 Service Pack 3

07.04.2009 15:14:15
mbam-log-2009-04-07 (15-14-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|K:\|)
Durchsuchte Objekte: 182891
Laufzeit: 1 hour(s), 0 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Arbeite nun die anderen Sachen ab.

Den CCleaner habe ich heut morgen schon mal laufen lassen. Wieder so lange, bis kein Fehler mehr zu finden war.

lg, irie

Hey,
denk nicht, ich hab die Nase voll und will hier nicht mehr weiter machen.
Dr. Web scannt... und scannt und scannt...

lg, irie

(nicht, dass du denkst, ich würde wieder was falsch machen: Ich schreibe von meinem Laptop aus)

Hi,

ungewöhnlich, wie lange ist er schon bei der Arbeit...?

chris

Hey,

also ein paar Stunden läuft der schon. Hab gerade wieder nachgeguckt. Ist jetzt gleich fertig. Dann poste ich das Ergebnis.

Hab noch ne Frage zu Silentrunner: Soll ich das Programm im abgesicherten Modus laufen lassen? Oder auf der Admin-Seite oder auf dem eingeschränkten Benutzerkonto? Muss allerdings gucken, ob ich das heute noch schaffe.

lg, irie

Hi,

bitte im eingeschränkten Benutzerkonto laufen lassen...

chris

Hey,
also Dr. Web hat nichts gefunden. Also so stand es dort. Keine Fehler! Mehr kann ich dir da leider auch nicht bieten, da sich der Rechner danach aufgehangen hat. Die Berichtsdatei konnte ich leider nicht mehr unter dem speziellen Namen speichern. Hätte dir die trotzdem noch weitere wichtige Infos geliefert? Hoffe, die Info des Programms "Keine Fehler" reicht aus.

Des Weiteren habe ich nochmal versucht, die Datei C:\windows\system32\drivers\etc\hosts zu öffnen und in den editor zu packen, aber da steht diesmal auch nix mit "öffnen mit". Allerdings sind dort auch zwei Dateien drin, die so heißen. Die eine ist eine icalendar-Datei. Bei der funktiniert das mit "öffnen mit". bei der normalen Datei wiederrum nicht.


Also so ein derbes Problem hatte ich noch nie. Also nochmal vielen Dank!

lg, irie

hey hier nun silentrunner:

http://www.file-upload.net/download-1573129/Startup-Programs--DIETER--2009-04-07-21.41.15.txt.html

hoffe, das funktioniert jetzt wenigstens. ich kann jetzt leider nicht mehr weiter machen für heute. danke und schönen abend noch.

lg,irie

Hi,

der Eintrag unter dem HKCU-Run-Key ist wieder/immer noch da:
"Mum & Dad" = "C:\Dokumente und Einstellungen\Mum & Dad\Mum & Dad.exe /i"

Wenn Du dich mit RegEdit auskennst kannst Du das mal löschen...

chris

Hey,
also das gebe ich unter "Ausführen" ein, richtig? Muss ich dazu auch wieder in den abgesicherten Modus? Brauche Admin-Rechte oder? Und dann suche ich einfac den Eintrag, den du genannt hast und da gibts dann auch ne Option "löschen"?

lg, irie

Hi,

dann lassen wir das lieber, sonst war nichts auffälliges zu finden...

Installiere (Admin) mal das hier und lasse es mit Avira mitlaufen:
http://www.threatfire.com/de/

chris

Hey,

lasse die beiden nun parallel laufen. Bin gespannt. Für den Fall, dass bei Antivir noch etwas kommen sollte, soll ich dann lieber auf Zugriff verweigern oder in Quarantäne?

lg, irie

Hey,

also beide Programme haben nix gefunden. Hier der Report von AntiVir:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 8. April 2009  10:47

Es wird nach 1343814 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     DIETER

Versionsinformationen:
BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  27.11.2008 19:01:58
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 11:12:32
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 11:12:32
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 11:12:32
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 16:41:22
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 22:09:08
ANTIVIR2.VDF  : 7.1.3.0      1330176 Bytes  01.04.2009 07:51:22
ANTIVIR3.VDF  : 7.1.3.28      123392 Bytes  08.04.2009 08:34:41
Engineversion : 8.2.0.138 
AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 11:26:58
AESCRIPT.DLL  : 8.1.1.73      373114 Bytes  04.04.2009 09:05:39
AESCN.DLL     : 8.1.1.10      127348 Bytes  04.04.2009 09:05:38
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 22:51:55
AEPACK.DLL    : 8.1.3.12      397687 Bytes  04.04.2009 09:05:38
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  26.02.2009 22:52:29
AEHEUR.DLL    : 8.1.0.114    1700214 Bytes  04.04.2009 09:05:37
AEHELP.DLL    : 8.1.2.2       119158 Bytes  26.02.2009 22:52:25
AEGEN.DLL     : 8.1.1.33      340340 Bytes  04.04.2009 09:05:33
AEEMU.DLL     : 8.1.0.9       393588 Bytes  19.10.2008 20:32:38
AECORE.DLL    : 8.1.6.7       176502 Bytes  04.04.2009 09:05:32
AEBB.DLL      : 8.1.0.3        53618 Bytes  19.10.2008 20:32:35
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 11:12:32
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 11:12:32
AVREP.DLL     : 8.0.0.2        98344 Bytes  04.08.2008 08:10:04
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 11:12:32
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 17:22:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 11:12:32
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 17:22:21
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 11:12:32
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 17:22:21
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 11:12:28
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 11:12:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, J:, K:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 8. April 2009  10:47

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz des ARK läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'J:\' <Musik>
Beginne mit der Suche in 'K:\' <Spiele>
K:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 8. April 2009  11:59
Benötigte Zeit:  1:12:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8684 Verzeichnisse wurden überprüft
 581689 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 581686 Dateien ohne Befall
  14210 Archive wurden durchsucht
      7 Warnungen
      0 Hinweise
         

Klingt fast zu gut um wahr zu sein! Soll ich noch irgendwas drüber laufen lassen?

lg, irie