Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.04.2010, 14:26   #1
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Hallo,
erstmal vielen Dank, dass es dieses Forum gibt. Es hat mir in den letzten Tagen bereits viel geholfen, als mein PC von Trojanern befallen war.
Ich glaube, dass ich mein System so langsam wieder sauber habe, traue dem Braten aber nicht und wüsste gerne, wie ich Gewissheit erlangen kann. Eine Neuinstallation, die ich sonst übers Wochenende machen würde, möchte ich nämlich vermeiden.
Das einzige, was im Augenblick nicht ganz normal läuft, ist der IE, der gerne mal selbständig irgendwelche Fenster öffnet (meist mit irgendwelchen Casino-Seiten).

Kann mir jemand helfen bei der Systemkontrolle? Danke

Gruß,
Gleumes

Alt 30.04.2010, 15:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Hallo und

Zitat:
Ich glaube, dass ich mein System so langsam wieder sauber habe,
Poste bitte alle schon vorher erstellten Logfiles von den Tools, die Du benutzt hast.

Danach einen Vollscan mit aktuellem Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 30.04.2010, 15:25   #3
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Hallo Arne,
danke für die schnelle Antwort.
Dann mache ich mich mal an die Arbeit, wobei ich zugeben muss, dass ich in meiner Verzweiflung immer wieder Dinge wiederholt habe, teilweise auch durcheinander. Aber in der Reihenfolge der Zeitstempel habe ich folgende Logfiles:

Malwarebytes' Anti-Malware

26.04. - 14.22

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:22:42
mbam-log-2010-04-26 (14-22-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 26285
Laufzeit: 55 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\woryugjxwujbp (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\ffxShot.dll (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\woryugjxwujbp.exe (Adware.Adrotator) -> Quarantined and deleted successfully.


26.04. - 14.37

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:37:39
mbam-log-2010-04-26 (14-37-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


26.04. - 15.05

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 15:05:51
mbam-log-2010-04-26 (15-05-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138753
Laufzeit: 13 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 8
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ezlife (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxzpocsssbsmbnlgt (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ave.exe" /START "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0 (Adware.EzLife) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\nsFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0\uninstall.exe (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0\uninstall.exe (Adware.EzLife) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\keqipwpvtteqknp.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\qmqwjknu.dll (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\arecwonsxm.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.



26.04. - 17.56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 17:56:55
mbam-log-2010-04-26 (17-56-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 258460
Laufzeit: 2 Stunde(n), 11 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qzaib7kitk (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newupdate1142c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\228.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\stp942c5.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zx89xka.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\stp942c5[1].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NBVZYED7\newupdate1142C[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.


26.04. - 17-56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 18:16:30
mbam-log-2010-04-26 (18-16-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143175
Laufzeit: 12 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


[Fortsetzung folgt...]
__________________

Alt 30.04.2010, 15:36   #4
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



weiter gehts...

Malwarebytes' Anti-Malware

27.04. - 18.16

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2010 18:16:38
mbam-log-2010-04-27 (18-16-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143420
Laufzeit: 15 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


28.04.2010

14.35 Uhr - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1298
Time Elapsed:00:05:05
Objects Scanned:50718
Threats Found:82

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@adtech.de/, 7-1622
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/pm/muenchen-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/ing-diba/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@fastclick.net/, 7-1402
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066386531/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@heias.com/, 7-1865
Tracking Cookies - Removed, Cookies, Cookie:***@atdmt.com/, 7-1543
Tracking Cookies - Removed, Cookies, Cookie:***@com.com/, 7-9
Tracking Cookies - Removed, Cookies, Cookie:***@nl.sitestat.com/vvk/kvk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@livejasmin.com/, 7-1946
Tracking Cookies - Removed, Cookies, Cookie:***@advertising.com/, 7-13
Tracking Cookies - Removed, Cookies, Cookie:***@cybermonitor.com/, 7-1767
Tracking Cookies - Removed, Cookies, Cookie:***@statse.webtrendslive.com/, 7-1547
Tracking Cookies - Removed, Cookies, Cookie:***@smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@apmebf.com/, 7-1646
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1053935835/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/sport1-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@adverserve.net/, 7-1628
Tracking Cookies - Removed, Cookies, Cookie:***@msnportal.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@freenet.de/, 7-1
Tracking Cookies - Removed, Cookies, Cookie:***@mediaplex.com/, 7-1564
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/karstadt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@quantserve.com/, 7-2075
Tracking Cookies - Removed, Cookies, Cookie:***@doubleclick.net/, 7-1380
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1036361766/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/brother-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@loc1.hitsprocessor.com/, 7-1871
Tracking Cookies - Removed, Cookies, Cookie:***@audiag.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@med-update.com/, 7-1773
Tracking Cookies - Removed, Cookies, Cookie:***@burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/pcwelt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@cdn5.specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@www.windowsmedia.com/, 7-2231
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@ad.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@edge.ru4.com/, 7-12
Tracking Cookies - Removed, Cookies, Cookie:***@xiti.com/, 7-2259
Tracking Cookies - Removed, Cookies, Cookie:***@ww251.smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@tradedoubler.com/, 7-2158
Tracking Cookies - Removed, Cookies, Cookie:***@m1.webstats.motigo.com/, 7-1853
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/frankfurt/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@statcounter.com/, 7-1545
Tracking Cookies - Removed, Cookies, Cookie:***@m.webtrends.com/, 7-2222
Tracking Cookies - Removed, Cookies, Cookie:***@guj.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/tvdsf-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066681220/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@axelspringer.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/stuttgart/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.intel.com/, 7-1904
Tracking Cookies - Removed, Cookies, Cookie:***@fl01.ct2.comclick.com/, 7-1741
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/tecchannel/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@imagevenue.advertserve.com/, 7-1630
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1068954949/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1065319315/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@vogelservices.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@imrworldwide.com/cgi-bin, 7-1508
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/is24/is24/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@bluestreak.com/, 7-1558
Tracking Cookies - Removed, Cookies, Cookie:***@fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@casino.com/, 7-232
Tracking Cookies - Removed, Cookies, Cookie:***@revsci.net/, 7-1559
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/dihk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@daimlerag.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1047815728/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/ak/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@autoscout24.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@suitesmart.com/, 7-2126
Trojan.Win32/Agent - Quarantined, File, C:\WINDOWS\system32\reader_s.exe, 4-11490
Unwanted.Smart_PC - Removed, Registry Key, HKEY_CURRENT_USER\Software\Smart PC Solutions, 4-22135
Trojan.Win32/Agent - Removed, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect, 4-22392
Trojan.Win32/Agent - Removed, Registry Value, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value=reader_s, 4-26065


15.54 Uhr - Malwarebytes' Anti Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.04.2010 15:54:18
mbam-log-2010-04-28 (15-54-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143170
Laufzeit: 12 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.


[Fortsetzung folgt...]

Alt 30.04.2010, 16:00   #5
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



weiter gehts...

29.04.2010

11.57 - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1417
Time Elapsed:00:05:09
Objects Scanned:50876
Threats Found:2

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8


15.15 - Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4050

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.04.2010 15:15:59
mbam-log-2010-04-29 (15-15-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 261479
Laufzeit: 2 Stunde(n), 4 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\37ef7ae6.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\cxno.tmp\svchost.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jyxf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\keqipwpvtteqknp.dll (Adware.IEhlpr) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zt2u3kx.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gmfrxpgv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cxlqe.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\kkemu[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPB94E3W\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\your[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WONP83SA\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\g1ty80xf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.


15.25 - Trojan Remover

siehe Anhang


17.36 - IObit Security 360

IObit Security 360

Betriebssystem:Windows XP
Version:1.4.1.11
Definitionsversion:1417
Zeit:01:57:54
Überprüfte Objekte:171774
Gefundene Bedrohungen:3

|Name|Typ|Beschreibung|ID|
Tracking Cookies - Entfernt, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Entfernt, Cookies, Cookie:***@tribalfusion.com/, 7-8
180 Solutions.nCase - unter Quarantäne gestellt, File, C:\WINDOWS\SoftwareDistribution\Download\c268348752498f57ff1128ae6a23c4f1\wgatray.exe, 9-56760


21.04 - Hitman Pro

siehe screenshot im Anhang


Das war's... DANKE schon jetzt!

Die Logs von den beiden Scans poste ich sobald sie fertig sind.

Miniaturansicht angehängter Grafiken
-hitman.jpg  

Alt 30.04.2010, 16:42   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Post Du noch das OTL Log?
__________________
--> Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...

Alt 30.04.2010, 18:09   #7
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



So, hier das aktuelle Anti-Malware-Log. Sieht ja schonmal nicht so schlecht aus...

OTL-Log kommt später am Abend.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.04.2010 19:02:09
mbam-log-2010-04-30 (19-02-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 269855
Laufzeit: 1 Stunde(n), 57 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 30.04.2010, 18:31   #8
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Hier dann doch schon die OTL-Logs:

Alt 30.04.2010, 18:36   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
[2010.04.29 11:59:00 | 000,096,704 | ---- | M] () -- C:\WINDOWS\System32\d248596c.exe
[2010.04.29 11:58:28 | 000,050,994 | ---- | M] () -- C:\WINDOWS\System32\sfqmhigpwfyyhivfy.exe
[2010.04.27 14:00:36 | 000,381,952 | ---- | M] () -- C:\WINDOWS\System32\jxufwpfetnryeysi.dll.vir
[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\UJ0QRjYY
[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UJ0QRjYY
[2010.04.26 12:12:04 | 000,075,056 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Alt 30.04.2010, 19:17   #10
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



gesagt getan. Allerdings kam während des Fix die Nachricht, dass das System herunterfährt weil ein DCOM-Server Prozessstart unerwartet beendet wurde. Beim Runterfahren hing er sich auf. Nach Reset fing mein Antivir an zu piepen: TR/Crypt.ZPACK.Gen in hpcmpmgr.exe.
Habe dann das Script in OTL ausgeführt, Log anbei.

Was nun?

Alt 30.04.2010, 19:19   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Ok. Dann mach mal nen Durchgang mit CF bitte:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alt 01.05.2010, 07:57   #12
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Moin.
CCleaner hab ich durchlaufen lassen.
Combofix habe ich gestartet. Nach Feststellung von Rootkitaktivitäten wurde das System neu gestartet und hängt dort nun seit einiger Zeit. Combofix zeigt blaues Fenster mit dem Text "Combofix wird vorbereitet, um ausgeführt zu werden". Ab und zu (etwa alle 5 Minuten) kommt der Windows-Startbildschirm, an dem ich Nutzer auswählen kann. Dann bliebt es wieder beim Combofix fenster.
Ist das normal?

Alt 01.05.2010, 09:04   #13
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Habe Combofix nun fertiggestellt. Logfile anbei. Leider funkte mir immer wieder mein AntiVirGuard dazwischen, der mir auch nach Beendigung von ComFix immer noch TR/Crypt.ZPACK.Gen meldet.
Danke für Eure weitere Hilfe!

Alt 01.05.2010, 12:57   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe
d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat
c:\windows\Fonts\0FRBaD.com
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Alt 01.05.2010, 13:10   #15
Gleumes
 
Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Standard

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...



Schön, dass Du wieder da bist ;-)

Hier das Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\Fonts\0FRBaD.com" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




Die backup-Datei aus Deinem Schritt 8 habe ich nicht... Lediglich eine 0FRBaD.exe, die ebenfalls den bekannten AntiVir-Fund aufweist.

Antwort

Themen zu Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...
befallen, bereits, blick, einzige, fenster, forum, geholfen, glaube, langsam, neuinstallation, sauber, selbständig, system, tagen, troja, trojaner, trojaner gehabt, trojanern, vermeide, woche, würde, wüsste, übers, öffnet



Ähnliche Themen: Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...


  1. laufwerk öffnet sich selbständig - virus / trojaner?
    Log-Analyse und Auswertung - 15.07.2013 (7)
  2. BDS/ZeroAccess - Trojaner gelöscht, nicht sicher ob System jetzt sauber ist
    Plagegeister aller Art und deren Bekämpfung - 31.03.2013 (4)
  3. ist GVU-Trojaner Infektion übertragbar? - kann ich dvon ausgehen, daß mein System jetzt sauber ist?
    Log-Analyse und Auswertung - 14.03.2013 (7)
  4. GVU Trojaner entfernt, System jetzt sauber?
    Log-Analyse und Auswertung - 07.08.2012 (32)
  5. 2. Rechner nach GVU Trojaner Entfernung: System jetzt sauber?(LogFiles dabei)
    Log-Analyse und Auswertung - 15.07.2012 (8)
  6. Win32/Bublik.b Trojaner entfernt - ist mein System jetzt wieder sauber?
    Log-Analyse und Auswertung - 01.02.2012 (26)
  7. Trojaner urlzone - System nach Neuaufsetzen jetzt sauber/sicher?
    Log-Analyse und Auswertung - 12.06.2011 (10)
  8. Conhost-Trojaner: Ist mein System jetzt sauber???
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (2)
  9. wahrsch. Malware über ICQ eingefangen, IE öffnet sich jetzt selbständig
    Log-Analyse und Auswertung - 04.07.2010 (25)
  10. Trojaner eingefangen, weiß nicht ob System jetzt sauber...
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (23)
  11. 16 Trojaner entfernt, System jetzt sauber?
    Log-Analyse und Auswertung - 11.03.2010 (15)
  12. Mehrere Trojaner gefunden, System bereinigt, ist es jetzt sauber?
    Log-Analyse und Auswertung - 12.01.2010 (16)
  13. viren und trojaner? system jetzt sauber?
    Log-Analyse und Auswertung - 31.10.2008 (0)
  14. Ist mein System jetzt sauber???
    Log-Analyse und Auswertung - 25.09.2008 (1)
  15. trojaner gehabt - logfile jetzt sauber?
    Log-Analyse und Auswertung - 17.08.2008 (3)
  16. trojaner gehabt - logfile jetzt sauber?
    Mülltonne - 13.08.2008 (0)
  17. Trojaner gehabt - hijackthis jetzt sauber?
    Mülltonne - 13.08.2008 (2)

Zum Thema Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... - Hallo, erstmal vielen Dank, dass es dieses Forum gibt. Es hat mir in den letzten Tagen bereits viel geholfen, als mein PC von Trojanern befallen war. Ich glaube, dass ich - Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig......
Archiv
Du betrachtest: Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.