vollständige Entfernung von Trojaner 'TR/Scar.dhbr' [trojan]
 

Hallo,

mein Virenprogramm brachte vor einiger Zeit folgende Meldung

In der Datei 'C:\Users\***\AppData\Roaming\Codecwmi\msd3d.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Scar.dhbr' [trojan] gefunden.

Dies schien ein Trojaner zu sein um TANs beim Online Banking auszuspionieren. In Folge dessen habe ich das Online Banking von diesem PC besser sein gelassen :rolleyes:.
Was mir noch aufgefallen ist, dass der PC relativ lange zum hochfahren gebraucht hat ( länger als gewöhnlich ).
Nachdem ich mein Virenprogramm habe suchen lassen, ist es fündig geworden und meinte das Problem behoben zu haben.

Meine Frage ist nun, ob man überprüfen kann, dass das stimmt, weil ich den Rechner erst neu aufgesetzt habe und es eigentlich nicht schon wieder tun wollte. Allerdings will ich bei diesem heiklen Thema auch kein Risiko eingehen.

Ich füge noch die log files ein bis auf die gmer.txt, weil dieses Programm beim ausführen leider immer abgschmiert ist.

Vielen Dank schonmal im Vorraus für eure Antworten. :daumenhoc

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo,


im folgenden das log des vollen scans:

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdatein in Malwarebytes.
Fände ich schon merkwürdig wenn MBAM rein garnichts gefunden hätte.

Nein, auch unter dem log reiter gibt es keine weiteren log dateien. Hat also anscheinend wirklich nichts weiter gefunden auch nicht in den externen festplatten.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier der Log von combofix:

Combofix Logfile:
--- --- ---


und den cccleaner habe ich auch erfolgreich durchgeführt und es blieben keine registry einträge zurück, die nicht behoben werden konnten.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

erledigt:

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OK das mit GMER hat wieder nicht funktioniert aber die anderen beiden Programme:

sry war der falsche anhang,

jetzt stimmts

mbrcheck ist unvollständig. Poste das Log nur vollständig. Lass mbrcheck im Zeifel länger als die symbolisch gemeinte Sekunde laufen.

ah ok sorry

das müsste jetzt passen:

Sollte i.O. gehen. Probier bitte noch einmal GMER aus.

Hallo,

habe es noch einige Male probiert aber er bleibt immer an der gleichen Stelle hängen.

Insgesamt scheint aber alles wieder gut zu funktionieren.

Danke schonmal dafür :applaus:

:dankeschoen:

na gut. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!