Trojanerbefall - Was tun ?
 

Hallo, ich hoffe mit diesem Forum eine Möglichkeit gefunden zu haben, wo ich wirklich Hilfe bekomme.

Vorweg: Ich bin absoluter Laie und die meisten hier benutzten Fachausdrücke sind für mich nur "Böhmische Wälder". Dennoch würde ich mich freuen, wenn sich jemand findet, mir Gehör schenkt und dann auch noch hilft.

Mein Problem: Seit zwei Tagen erscheint bei mir diese Meldung: Nachdem ich 100 Euro überweise mit einer zu kaufenden PIN-Nr. wird mein Computer wieder entsperrt.

Bei mir sind alle Icons versschwunden vom Desktop, keine Ahnung, ob Programme oder Dateien fehlen. Sicherlich habe ich auch alles verkehrt gemacht, was man verkehrt machen kann, nach der ersten Meldung, das mein Computer mit "Schädlicher Software" befallen ist. Ich habe Scan-Programme (Freeware) auf den Computer gespielt und wieder gelöscht. Habe hier und da versucht mit den Windowssystem-Programmen eventuell etwas zu erreichen. Nichts, aber auch gar nicht hat sich verändert. Mein Computer ist wesentlich langsamer geworden. Teilweise sind einige Icons wieder auf den Desktop erschienen, nach dem ich versucht habe wieder einige Dateien herzustellen. Aber alle Programm-Verknüpfungen sind weg.

Nun habe ich hier viele Beiträge gelesen und sehe, dass viele ein ähnliches Problem haben. Ich weiss keinen Rat. Also kann ich hier nur um Hilfe bitten.

Ich möchte nochmals betonen, ich habe wirklich keine Ahnung von Software. Wenn ich hier einige Beiträge sehe, mit solchen Ausdrücken kann ich nicht mithalten.

Vielleicht bist es ja möglich, das jemand eine "Ferndiagnose" machen kann. Irgendwie muss es doch möglich sein zu helfen?

Gerne kann mich auch jemand anrufen damit wir telefonisch einiges durchsprechen können. Meine Telefon-Nr.: [entfernt]

Bitte meldet euch - suche dringend Hilfe

Annegret

Telefonsupport gibt es hier nicht! Wozu haben wir das Board!?



Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Kann MBAM nicht downloaden
 

Hallo, vielen Dank für die schnelle Antwort. Leider kann ich nicht die angegebene Software downloaden. Auf der Seite von FilePony.de gelange ich zum Punkt: Downloaden - doch dann erscheint die Meldung: store.malwarebytes.org nicht gefunden. Also bis jetzt kann ich keinen Scan durchführen. Was jetzt ?

Viele Grüße Annegret1

Gerade an mehreren PCs getestet. Funktioniert einwandfrei.
Bitte nochmal testen!

:)

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.29.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Siara & Partner :: SIARA [Administrator]

29.05.2012 16:18:31
mbam-log-2012-05-29 (16-18-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193648
Laufzeit: 3 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|LicenseValidator (Trojan.Winlock.G) -> Daten: C:\Users\Siara & Partner\AppData\Roaming\Identities\{5C3C5E0E-D2A5-4021-9F4B-7F19F9C6ED26}\LicenseValidator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Siara & Partner\AppData\Roaming\Identities\{5C3C5E0E-D2A5-4021-9F4B-7F19F9C6ED26}\LICENSEVALIDATOR.EXE (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Siara & Partner\AppData\Roaming\Google\{D81F58F5-01BF-49B6-88E3-53950938C2B6}\UpgradeChecker.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Siara & Partner\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Siara & Partner\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Bitte weitermachen nach Anleitung von cosinus: http://www.trojaner-board.de/115821-...tml#post835381

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Hallo, hier ist das Ergebnis - die WinowTaste + R gedrückt:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
esets_scanner_update returned -1 esets_gle=53251

Ich glaube, damit kann man wohl nichts anfangen. Habe aber zusätzlich noch die Dateien die Meldung gespeichert die das Programm nach dem Scan ausgegeben hat:

C:\Users\Siara & Partner\AppData\Local\Temp\ahlwuxuaqr.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\Local\Temp\cldeoznbehiijvythteiarykv.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\Local\Temp\hnpjepoiox.exe Win32/Agent.NXG trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache3533076343334378233.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache4142351968489978426.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache4181737841601048583.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache4198914767510296667.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache5050300088478243646.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache5566193529191407010.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache5776662377627359546.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache6000580935254005074.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\jar_cache9187227727054800224.tmp a variant of Java/Exploit.CVE-2012-0507.AN trojan
C:\Users\Siara & Partner\AppData\Local\Temp\ndbdwjmetgdbnqkluk.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\Local\Temp\uoepougjrudefv.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\Local\Temp\wugxypvyhionuaypvnrtr.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\Local\Temp\xotmksushimhgcdutwmuxt.exe Win32/Agent.NXG trojan
C:\Users\Siara & Partner\AppData\Local\Temp\ydzpndobqaeeyjr.exe a variant of Win32/Injector.RXO trojan
C:\Users\Siara & Partner\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\6865cc9d-20905714 Java/TrojanDownloader.Agent.NDR trojan
C:\Users\Siara & Partner\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\35c05063-72153472 Java/Exploit.CVE-2011-3544.T trojan
C:\Users\Siara & Partner\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\3de7e464-71656d15 multiple threats
C:\Users\Siara & Partner\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5c0337a5-18fb1017 Java/Agent.EA trojan
C:\Users\Siara & Partner\Desktop\Setup`s\SETUP´S 1\SoftonicDownloader_fuer_gimp.exe a variant of Win32/SoftonicDownloader.A application
C:\Users\Siara & Partner\Downloads\Orden.zip Win32/Spy.Zbot.YW trojan
C:\Users\Siara & Partner\Downloads\Videoscript2.0.zip PHP/Obfuscated.B application
C:\Users\Siara & Partner\Pictures\VideoscriptEinzelplatz.zip PHP/Obfuscated.B application
C:\Users\Siara & Partner\Pictures\VideoscriptEinzelplatz1.zip PHP/Obfuscated.B application
C:\video\create.php PHP/Obfuscated.B application
C:\video\index.php PHP/Obfuscated.B application
C:\video\new.php PHP/Obfuscated.B application
J:\SIARA\Backup Set 2010-11-18 145631\Backup Files 2010-12-19 190010\Backup files 1.zip a variant of Win32/SoftonicDownloader.A application
J:\SIARA\Backup Set 2010-11-18 145631\Backup Files 2010-12-19 190010\Backup files 2.zip a variant of Win32/SoftonicDownloader.A application
J:\SIARA\Backup Set 2010-12-26 190007\Backup Files 2010-12-26 190007\Backup files 1.zip a variant of Win32/SoftonicDownloader.A application
J:\SIARA\Backup Set 2010-12-26 190007\Backup Files 2010-12-26 190007\Backup files 2.zip a variant of Win32/SoftonicDownloader.A application
J:\SIARA\Backup Set 2011-01-27 054932\Backup Files 2011-01-27 054932\Backup files 3.zip a variant of Win32/SoftonicDownloader.A application
J:\SIARA\Backup Set 2011-06-28 081958\Backup Files 2011-07-17 190008\Backup files 3.zip Win32/Spy.Zbot.YW trojan
J:\SIARA\Backup Set 2011-08-21 190008\Backup Files 2011-08-28 215338\Backup files 21.zip Win32/Spy.Zbot.YW trojan
J:\SIARA\Backup Set 2011-09-11 190008\Backup Files 2011-09-11 190008\Backup files 1.zip Win32/Spy.Zbot.YW trojan
J:\SIARA\Backup Set 2011-09-11 190008\Backup Files 2011-10-02 190008\Backup files 4.zip a variant of Win32/SoftonicDownloader.A application
J:\Sicherung debros.info server\_\public_html\video\new.php PHP/Obfuscated.B application
J:\Sicherung debros.info server\_\public_html\video\index.php PHP/Obfuscated.B application
J:\Sicherung debros.info server\_\public_html\video\create.php PHP/Obfuscated.B application
Operating memory multiple threats

Bitte nochmals zum Verständnis. Ich bin ein Laie. Habe wirklich keine Ahnung, was ich im einzelnen tun muß, um ein Browser zu schliessen, Code-Tags zu posten usw. Wenn solche Dinge erforderlich sind, dann brauche ich eine "Gebrauchsanweisung für ganz Dumme". Bitte berücksichtigen Sie das. Es wäre schön wenn ich mehr davon ve4rstehen würde, es ist aber nicht so. Bis hier erst einmal vielen Dank. Wie geht es jetzt weiter? Annegret1

Das wurde alles bins ins kleinste Detail beschrieben! Man muss es nur lesen! CODE-Tags wurde oben sogar verlinkt wo es noch detailierter beschrieben wurde! Lesen und nicht dummstellen!

Außerdem will ich noch den Vollscan mit Malwarebytes sehen