Trojaner-Board - Schonmal in diesem Forum behandeltes Problem + mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Schonmal in diesem Forum behandeltes Problem + mehr (https://www.trojaner-board.de/101081-schonmal-diesem-forum-behandeltes-problem-mehr.html)

Schonmal in diesem Forum behandeltes Problem + mehr

Hallo,
Ich weiss, dass das Problem was ich jetzt anschneide in diesem Forum schonmal gelöst wurde allerdings mit OTL berichten und was auch noch immer wo es warscheinlich bei jedem Rechner individuell ist deshalb habe ich mir den spass gemacht mit meinem Zweitrechner diesen post zu eröffnen.

Ich zitiere mal aus dem andern Post (Infaktion: "Iphone 4 gewonnen" + sämtliche Sicherheitstools deaktiviert) das Problem:

"Hallo,

ich habe folgendes Problem. Auf meinem Rechner mit Win7 (64bit) habe ich mir einen Trojaner (vermutlich) eingefangen der dafür sorgt, dass ich alle ca. 15 eine Meldung bekomme "Herzlichen Glückwunsch, sie haben ein Iphone4 gewonnen..." bzw. "Danke, dass sie diese Seite besucht haben".
Darüber hinaus sind sämtliche Sicherheitstools (Antivirus-Programm, Sicherheitscenter, etc.) dauerhaft deaktiviert und lassen sich auch nicht aktivieren.
Auch die Google-Suche ist beeinträchtigt.

Ich habe bereits Malwarebytes' Anti-Malware und Hijack This drüber laufen lassen, anbei die logs.

Wie kann ich dieses Problem beseitigen?
Danke & Gruß "

Auch Ich nutze Win 7 (64 Bit).
Das ganze verhält sich bei mir fast genauso, nur dass hinzu kommt, dass zu weilen auch der Internet Explorer sich öffnet und eine Seite lädt auf der steht:
'Gewinnen Sie jetzt 10.000 €' (obwohl ich den Internet Explorer Ursprünglich deinstalliert hatte, da ich Ihn eh nicht nutze o.o)

(Anmerkung: die Fenster ploppen nur auf, wenn ich mit dem Internet verbunden bin und lasten meine CPU für etwa 5 minuten zu 100% aus, weshalb ich die Verbindung mit dem Internet derzeit meide so gut ich kann, glaube daher nicht, dass es mein einziger freund ist, den ich mir eingefangen habe o.o)

Malwarebytes o.ä. habe ich nicht genutzt sondern gleich dieses OTL so angewandt wie in der ersten antwort auf den Post beschrieben.
Ergebnis siehe Anhang. Danke für die Unterstützung.
Gruß Lyx

hiho

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
:Files
C:\Users\Lyxenia\AppData\Roaming\dwm.exe
C:\Users\Lyxenia\AppData\Local\Temp\csrss.exe
C:\Users\Lyxenia\AppData\Roaming\Microsoft\conhost.exe
C:\Users\Lyxenia\AppData\Local\Temp\Ew2.exe
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Gut ist im Uploadchannel hochgeladen, warscheinlich mehr als gefragt war :3
Schonmal besten dank für die schnelle Hilfe.

passt, danke.
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Ich habe ein klitze kleines Problem dabei mit meinem Antivir -.-

Combofix sagt mir noch vor dem Ausführen das es feststellte mein Antivir wäre aktiviert, Antivir selbst behauptet das gegenteil, was nun? Combofix ausführen und die Meldung ignorieren?

gut da haben wir die datei...
(ich will garnicht wissen was ich alles an unerkanntem mist drauf habe >.<)

hi
öffne computer, c:, qoobox
quarantain rechtsklick, mit winrar oder zip packen und im upload channel hochladen bitte
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

thx
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

ja >.< vorallem onlinebanking weil meine bank etwa 400 km von meinem wohnsitz entfernt ist

etwa was entdeckt was mir einige kosten verursachen kann? o.o

lasse das onlinebanking sperren.
notfall nummer:
116 116
grund:
cycbot backdoor
danach solltest du deine daten sichern, auf ne externe platte zb, dazu gehören bilder dokumente, persönlihces zeug.
dann müssen wir formatieren und windows neu instalieren, anleitung gibts von mir falls nötig.
dann zeig ich dir, wie man das system richtig absichert.
dann müssen alle passwörter geendert werden.

gut also nen system hab ich noch nie neu aufgesetzt, das hat immer meine mutter gemacht, die kennt sich aus im egensastz zu mir, aber alles was wichtig ist habe ich immer wenn ich was gespeichert habe auch gleich extern gesichert, verloren geht mir also nix was ich mir nocht wiederholen kann (ich hoffe das gilt nicht für viren und trojaner)

eine frage, es sind bei uns zu hause 4 rechner über ein switch mit dem internet verbunden und mein mann nutzt ebenfalls onlinebanking, kann sein pc jetzt auch betroffen sein?

wir können uns den pc mal ansehen, aber normalerweise nicht.
lass uns aber erst mal den fertig machen.
nutzt du ne windows cd, recovery cd, recovery partition?
falls letzteres nenne mir den hersteller deines pcs und gerätebezeichnung

ich muss ehrlich gestehn ich muss erstmal suchen was ich überhaupt alles zu meinem laptop habe, auf dem wir nun das problem gefunden haben.
Soviel sei aber gesagt, es handelt sich um dieses Modell:
Asus X70ID-TY017V

Vielleicht hilft das ja schon weiter :)

Edit: Habe auch die zum PC gehörige CD mit treibern und win7 gefunden

ok daten alle gesichert?

ok, lege die windows cd ein starte neu.
pc sollte von der cd starten.
jetzt wähle falls es dies gibt, benutzerdefiniert.
dann gehe bis zu den partitionen.
wähle die c partition aus. dort gehe auf optionen.
dort wähle formatieren, bestätigen.
jetzt sollte formatiert sein, instaliere windows.
falls daten nach windows.old verschoben werden sollen, ist das mit dem format schief gelaufen und du mussts noch mal machen.
instaliere windows.
instaliere treiber.
teste ob du ins internet kommst und meld dich.

alles schick nur das er die cd vollkommen ignoriert und selbst beim benutzen der f- tasten wenn der pc startet finde ich keine option mit der ich dem Pc sagen kann das er bitte von der cd booten soll.
d.h. er liest die cd zwar aber er bootet nicht von ihr -.-

mit einer anderen Windows 7 (64 bit) scheint es zu funktionieren, welch glück dass mein mann die noch rumliegen hatte o.o

na dann lohnt sich die ehe ja doch :d
ok, weiter gehts hiermit, ich weis, lange anleitung, aber überspringe nichts, frage bei problemen!

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows vista / 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

inwiefern eignet sich mozilla firefox anstatt opera?

opera ist:
- resourcen schonender,
- hat weniger sicherheitslücken.
- ist mit mehr funktionen ausgestattet.
- man kann erweiterungen instalieren wie beim ff.
- ist auf den meisten pcs schneller als der ff.

gut dann werd ich mir opera mal vertraut machen.
Ich habe schonmal avast drauf, lade mometan noch an den windows updates, benutzerkonto mit eingeschränkten rechten ist erstellt, den rest mach ich morgen nach der arbeit :)

besten dank, hat alles wunderbar geklappt :)
danke auch nochmal das du dir die zeit genommen hast.

kein problem, kommst mit allen programmen/einstellungen klar?

bis jetzt schon danke der nachfrage :)