Trojaner-Board - Trojan.Generic.KDV.358528 eingefangen :-((

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojan.Generic.KDV.358528 eingefangen :-(( (https://www.trojaner-board.de/103453-trojan-generic-kdv-358528-eingefangen.html)

nein, ich schrieb ja einen Beitrag vorher dass mir im normalen Modus alles einfriert und hängen bleibt und ich nur im abgesicherten Modus mit Netzwerktreibern mit dem Rechner hantieren kann.. nun bin ich im normalen Modus (nach dem Combofix) und es funktioniert wieder ohne einzufrieren oder abzustürzen..

sind die Schädlinge nun weg? :heilig:

EDIT: 2 Beiträge vorher ;-)

Achso, das muss ich übersehen oder vergessen haben :pfeiff:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

mein asw LOG:

Zitat:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-19 19:08:44
-----------------------------
19:08:44.437 OS Version: Windows x64 6.1.7600
19:08:44.437 Number of processors: 4 586 0x2505
19:08:44.437 ComputerName: ****** UserName:
19:08:45.623 Initialize success
19:08:45.950 AVAST engine defs: 11091900
19:08:53.095 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:08:53.095 Disk 0 Vendor: Hitachi_ PB4O Size: 476940MB BusType: 3
19:08:53.095 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
19:08:53.111 Disk 1 Vendor: Hitachi_ PB4O Size: 476940MB BusType: 3
19:08:53.111 Disk 0 MBR read successfully
19:08:53.126 Disk 0 MBR scan
19:08:53.158 Disk 0 Windows 7 default MBR code
19:08:53.158 Service scanning
19:08:54.156 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
19:08:54.889 Modules scanning
19:08:54.889 Disk 0 trace - called modules:
19:08:54.920 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll
19:08:54.920 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8005761060]
19:08:54.920 3 CLASSPNP.SYS[fffff88001ab443f] -> nt!IofCallDriver -> [0xfffffa8004301b20]
19:08:54.920 5 ACPI.sys[fffff88000f84781] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004306050]
19:08:56.090 AVAST engine scan C:\Windows
19:08:58.758 AVAST engine scan C:\Windows\system32
19:09:55.121 AVAST engine scan C:\Windows\system32\drivers
19:10:02.921 AVAST engine scan C:\Users\*** ***
19:12:02.012 AVAST engine scan C:\ProgramData
19:14:38.542 Scan finished successfully
19:15:05.624 Disk 0 MBR has been saved successfully to "C:\Users\*** ***\Downloads\MBR.dat"
19:15:05.624 The log file has been saved successfully to "C:\Users\*** ***\Downloads\aswMBR.txt"

EDIT: musste wieder im abgesicherten Modus das Tool aus führen da mein Rechner im normalen Modus eingefroren ist :-(

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mein Malware Log fand nichts.

mein SASW fand 2 Bedrohungen, habe sie gefixt:

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/19/2011 at 08:11 PM

Application Version : 5.0.1118

Core Rules Database Version : 7707
Trace Rules Database Version: 5519

Scan type : Quick Scan
Total Scan Time : 00:04:04

Operating System Information
Windows 7 Home Premium 64-bit (Build 6.01.7600)
UAC Off - Administrator

Memory items scanned : 408
Memory threats detected : 0
Registry items scanned : 60530
Registry threats detected : 0
File items scanned : 10482
File threats detected : 2

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\SM0UPK8W.txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\1AS93QJ3.txt

nun führe ich einen weiteren Eset Scan aus und poste danach diesen Log..

Zitat:

mein Malware Log fand nichts.

Aussage ist irrelevant, poste bitte das Log.

nochmal zur Anmerkung: ich kann nur im abgesicherten Modus (mit Netzwerktreibern) die Tools starten da im normalen Modus alles sofort einfriert und sich NICHTS mehr tut, auch wenn ich 1 Stunde warte..

ESET hat wieder einen win32 \ RegistryBooster gefunden :-(

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cb3551f8ee6d5a43845735f080cfca51
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-18 07:58:26
# local_time=2011-09-18 09:58:26 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776574 100 94 248385 68005313 0 0
# compatibility_mode=8192 67108863 100 0 228 228 0 0
# scanned=19916
# found=0
# cleaned=0
# scan_time=464
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cb3551f8ee6d5a43845735f080cfca51
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-18 09:29:43
# local_time=2011-09-18 11:29:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776574 100 94 249012 68005940 0 0
# compatibility_mode=8192 67108863 100 0 855 855 0 0
# scanned=253100
# found=6
# cleaned=0
# scan_time=5313
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\Launcher.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\rbmonitor.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\rbnotifier.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_move_serial.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\*** ***\AppData\Local\Temp\mia5D23.tmp\data\OFFLINE\D038292B\DBD9B16A\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=12
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cb3551f8ee6d5a43845735f080cfca51
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-19 07:47:53
# local_time=2011-09-19 09:47:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776574 100 94 329035 68085963 0 0
# compatibility_mode=8192 67108863 100 0 80878 80878 0 0
# scanned=253087
# found=1
# cleaned=0
# scan_time=5580
C:\Users\*** ***\Downloads\cbaffregistrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I

EDIT:

Malware LOG

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7750

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

19.09.2011 21:57:15
mbam-log-2011-09-19 (21-57-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 178474
Laufzeit: 1 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Echt? :wtf:
Passiert das auch, wenn du einen neuen Windows-Benutzer erstellst und mit diesem im normalen Modus bist?

habe soeben einen neuen Benutzer mit Adminrechten angelegt und es versucht, wie auch mit meinem Standartbenutzer mit Adminrechten friert alles ein bzw. gibt "keine Rückmeldung" ...

PS: habe 2 Posts vorher nochmal meine Malware Logs hinzuedidiert, die fanden nix, der Eset Scan fand wieder einen Schädling (siehe 2 Beiträge vorher)... schnief

Registrybooster ist in dem Sinne KEIN Schädling, sondern die erwähnte Schlangenölsoftware.
du hast beim letzten Scan nur einen Quickscan mit Malwarebytes und SASW gemacht, gingen keine Vollscans?
seit wann ist der Rechner so instabil im normalen Modus? War das schon vor unserer Bereinigung der Fall?

der Rechner hängt sich im normalen Modus auf seit ich den Schädling drauf hab..
ich verzweifel langsam da dies mein Arbeitsrechner ist und ich nicht daran arbeiten kann :confused:

Mach bitte nochmal ein frisches OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

lieber Cosinus,

Ich habe mein System nun neu aufgesetzt da mein Rechner weiter lahmte und ich Angst vor dem Rest-Schädling habe/hatte, auf meinem Rechner sind wichtige Daten (Arbeitsrechner) und da bin ich dann doch auf Nummer Sicher gegangen da er trotz unserer ganzen Versuche das Ding zu killen, weiter Probleme machte..

Ich danke dir dennoch tausendfach für deinen Support! :abklatsch: