Hallo,
ich habe mir am Samstag gegen 22:30 Uhr einen Trojaner, ein Rootkit oder was auch immer gefangen.

Meine erste Reaktion war, den Computer vom Internet zu trennen (zuerst auf dem Desktop und kurz darauf das USB-Kabel vom Rechner). Ich habe daraufhin versucht, die zuhauf aus der Taskleiste aufpoppenden Fake-Popups zu ignorieren - nicht immer mit Erfolg, sollte ich vielleicht anmerken >_>° - und sämtliche noch laufenden Programme geschlossen. Es folgte ein Scan mit a-squared free (der einzigen Software, die zu dem Zeitpunkt auf dem Rechner war, von der ich glaubte, sie könne evtl. weiterhelfen), der diverse Trojaner namens "Agent.bqpu!A2", "Mebroot!A2" und weiteres aufdeckte (Logs habe ich leider keine).
Nach einem Neustart stellte sich dann noch heraus, dass ich keine Administratorenrechte mehr hatte, die Ordneransicht nicht mehr konfigurieren konnte, usw.
Ich habe den Rechner dann logischerweise vom Internet getrennt gelassen und angefangen, anhand der mir bekannten Namen auf einem anderen Rechner im Haus zu googlen und nach Lösungen/Informationen zu suchen - recht erfolglos.

Später beschloss ich dann, mir auf einem Board Hilfe zu suchen, fing also damit an, mir das Einsteigertopic hier durchzulesen, lud die benötigte von einem anderen PC aus herunter und brannte sie auf CD.
Nach einem Durchlauf Malwarebytes Anti-Malware und einem Neustart habe ich meine Rechte nun (augenscheinlich) zurück und auch das Windows-Sicherheitscenter läuft wieder (nach Reaktivierung des Dienstes).
Ich habe allerdings ein sehr schlechtes Gefühl dabei, mit diesem Rechner wieder online zu sein, ohne eine Art Bestätigung seitens Jemanden, der mehr von diesem Thema versteht, dass ich mir keine Sorgen mehr zu machen brauche.

CC-Cleaner hat mehrere Durchläufe hinter sich.. wenn ich versuche, RSIT auszuführen, passiert dies:

h**p://www.bilder-space.de/show_img_test.php?img=959194-1272839330.png&size=view :S

..und das Anti-Malware Log sieht folgendermaßen aus:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

02.05.2010 22:41:55
mbam-log-2010-05-02 (22-41-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 279644
Laufzeit: 25 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\PRAGMA (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Program Files (x86)\Digital Protection (Rogue.DigitalProtection) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\SysWOW64\oc7ej9g7.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Windows\System32\oc7ej9g7.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Henning\Favorites\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.

Nach Benutzung der Boardsuche habe ich RSIT zum laufen gebracht, hier die Logs.

Hallo,

Zitat:

Datenbank Version: 4052

Malwarebytes war leider nicht aktuell, bitte aktualisieren und noch nen Vollscan machen. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,
erstmal danke für deine Hilfe.
Hier das Log der aktualisierten Malwarebytes-Version:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4069

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

05.05.2010 18:01:19
mbam-log-2010-05-05 (18-01-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 279362
Laufzeit: 26 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



.. die OTL-Logs im Anhang.

Sieht garnicht mal so verkehrt aus

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2010.05.02 22:13:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\sfafafafafafa
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Erledigt, hier das Log:

All processes killed
========== OTL ==========
C:\Program Files (x86)\sfafafafafafa\Languages folder moved successfully.
C:\Program Files (x86)\sfafafafafafa folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Henning
->Temp folder emptied: 637660 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 14551048 bytes
->Flash cache emptied: 1612 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 71970 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 15,00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05052010_210245

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Da anscheinend keine weiteren Anweisungen mehr kommen - kann ich die Geschichte damit als erledigt betrachten, oder gibts noch was zu tun?

Lass nochmal tiefer reinschauen mit GMER und OSAM

Okay, GMER produziert beim Start und vor dem Scan jeweils einen Fehler (Sreenshots im Anhang), scant dann allerdings ganz normal und findet nichts (nun bin ich mir nicht sicher, ob es in dem Fall normal ist, dass kein Log erstellt wird, oder nicht - jedenfalls hatte ich auch nach wiederholtem "copy-button"-hämmern kein zu kopierendes Log in der Zwischenablage).

OSAM scant ganz normal, schließt allerdings nach dem 5. Mal "next" klicken schlicht alles, bis auf das Hauptfenster und auch hier gibts dann keine Reaktion, wenn ich auf "Safe Log" klicke.

.. ich bin verwirrt. :[

Ach mein Fehler
Du hast ein 64-Bit-Windows, GMER läuft da nicht und OSAM auch nicht immer.

Rechner wieder ok oder gibs noch Probleme / Meldungen?

Der Rechner tut soweit nichts unerwartetes.
ich wollte nur sicher sein, dass da wirklich nichts mehr vorhanden ist, was mir unangekündigt den Tag vermiesen könnte.

Damit deiner Meinung nach alles in Ordnung?

Zitat:

Damit deiner Meinung nach alles in Ordnung?

Ja, die Logs gehen i.O. - prüf mal Deine Updates:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So.. etwas verspätet, aber besser spät als nie: Win7 Updates sind auf dem neuesten Stand, der Adobe Reader ersetzt und Java aktualisiert.
Eigentlich uninteressant, weil Thema durch - ich schreib den Beitrag aber auch nur, um mich nochmal vielmals für deine Hilfe zu bedanken!
Toller Einsatz hier.