"BKA" Trojaner
 

Guten Tag,

gestern Abend tauchte plötzlich das altbekannte BKA-fake-Bild auf meinem Rechner auf, ich startet daraufhin mein System neu. Frisch hochgefahren sprang spybot an und checkte die Datei wpbt0.dll und zeigte not found dahinter an. Daraufhin checkte ich mein System mit dem frisch upgedatetem spybot und dem antivir Programm, ohne Fund! In diesem Forum fand ich den Hinweis auf Malewarebytes, ich startete damit einen Suchlauf. Das Programm fand 2 infizierte Dateien, ich hab sie aber nicht gelöscht, da davon hier abgeraten wurde. Hier die log-Datei:

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.20.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
Sebastian :: SEBASTIAN-PC [Administrator]

20.01.2012 17:48:53
mbam-log-2012-01-20 (20-39-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 291918
Laufzeit: 2 Stunde(n), 49 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.RansomP.Gen) -> Daten: C:\Users\SEBAST~1\AppData\Local\Temp\wpbt0.dll -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Sebastian\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Keine Aktion durchgeführt.

(Ende)


Desweiteren habe ich OTL mit den entsprechenden Anweisungen durchlaufen lassen, hier das Ergebnis:OTL Logfile:
--- --- ---




Und hier die Extras:

OTL Logfile:
--- --- ---


Ich danke im schon im voraus für Ihre Bemühungen!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

nein, ich habe malewarebytes zum ersten Mal benutzt (diese Seite hatte mich auf das Programm gebracht), ich dachte immer antivir in Kombination mit spybot wäre ausreichend..

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danke erstmal für die schnelle hilfe!

ich hab eine externe festplatte, nur war diese nicht während des vorfalls und auch an dem tag nicht angeschlossen..hätte ich sie trotzdem mit anschließen müssen? bitte halte mich nicht für paranoid, aber wenn ich alles ausschalte und dann die festplatte auch noch ansteck, dann verlängert sich doch die ungeschütze zeit..von den daten auf der platte mal zu schweigen..
denn malwarebytes hatte doch angezeigt das ich da irgendwas drauf hab.

hier die log-file:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-23 07:06:11
# local_time=2012-01-23 08:06:11 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7895736 7895736 0 0
# compatibility_mode=5892 16776573 100 100 79374 164877696 0 0
# compatibility_mode=8192 67108863 100 0 3872 3872 0 0
# scanned=17655
# found=0
# cleaned=0
# scan_time=603


hoffe sie ist hilfreich für dich.

besten gruß

Ja, mitscannen wäre besser gewesen

ich habe es nochmal mit Festplatte durchlaufen lassen, komsicher weise hat er jetzt was gefunden, allerdings nicht auf der Festplatte..

hier die file:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-23 07:06:11
# local_time=2012-01-23 08:06:11 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7895736 7895736 0 0
# compatibility_mode=5892 16776573 100 100 79374 164877696 0 0
# compatibility_mode=8192 67108863 100 0 3872 3872 0 0
# scanned=17655
# found=0
# cleaned=0
# scan_time=603
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-24 07:05:00
# local_time=2012-01-24 08:05:00 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7975349 7975349 0 0
# compatibility_mode=5892 16776573 100 100 158987 164957309 0 0
# compatibility_mode=8192 67108863 100 0 83485 83485 0 0
# scanned=149958
# found=4
# cleaned=0
# scan_time=7318
C:\Program Files\VistaCodecPack\Tools\Settings32.exe Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\ProgramData\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\All Users\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\3952cc99-4ed09678 Java/Exploit.CVE-2011-3544.AB trojan (unable to clean) 00000000000000000000000000000000 I


hoffe du kannst mir jetzt helfen.

Hattest du mit Malwarebytes die ext. Platte mit durchsuchen lassen?

Offensichtlich hast du auch nicht die Funde entfernt mit Malwarebytes...bzgl Malwarebytes lt. Anleitung die FUnde immer löschen, nur bei den anderen hier eingesetzten Tools hier nicht.

nein, malewarebytes hab ich auf dem Rechner laufen lassen.
Okay, dann lass ich malewarebytes die infizierten Dateien entfernen, ich hatte nur in einem anderen Beitrag gelesen das man das nicht machen soll, da die Sicherheitslücken dann immer noch da sind (ich hatte vermutet Ihr braucht die Namen damit Ihr wisst wo das Problem ist).
Nachdem malewarebytes seine Arbeit getan hat wie sehen die nächsten Schritte aus?

Wenn nur die Platte des Rechners, dann mach auch einen Vollscan auf die externe Platte. Also nachholen falls nicht gemacht.

Wie auch immer, was Malwarebytes findet, kann getrost gelöscht werden (Malwarebytes hat eine eigene Q und notfalls kann man gelöschte Dateien wiederherstellen)

ich habe malewarebytes seine arbeit machen lassen (mit Festplatte) hier die Daten:

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.20.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
Sebastian :: SEBASTIAN-PC [Administrator]

24.01.2012 21:51:51
mbam-log-2012-01-24 (21-51-51).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 304382
Laufzeit: 2 Stunde(n), 1 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.RansomP.Gen) -> Daten: C:\Users\SEBAST~1\AppData\Local\Temp\wpbt0.dll -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Sebastian\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Danach hab ich nochmal den eset scanner durchlaufen lassen:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-23 07:06:11
# local_time=2012-01-23 08:06:11 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7895736 7895736 0 0
# compatibility_mode=5892 16776573 100 100 79374 164877696 0 0
# compatibility_mode=8192 67108863 100 0 3872 3872 0 0
# scanned=17655
# found=0
# cleaned=0
# scan_time=603
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-24 07:05:00
# local_time=2012-01-24 08:05:00 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7975349 7975349 0 0
# compatibility_mode=5892 16776573 100 100 158987 164957309 0 0
# compatibility_mode=8192 67108863 100 0 83485 83485 0 0
# scanned=149958
# found=4
# cleaned=0
# scan_time=7318
C:\Program Files\VistaCodecPack\Tools\Settings32.exe Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\ProgramData\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\All Users\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\3952cc99-4ed09678 Java/Exploit.CVE-2011-3544.AB trojan (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ccff2162f96cb34fb05acc16abcd6586
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-25 11:32:41
# local_time=2012-01-25 12:32:41 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 8034305 8034305 0 0
# compatibility_mode=5892 16776573 100 100 41464 165016265 0 0
# compatibility_mode=8192 67108863 100 0 142441 142441 0 0
# scanned=150158
# found=4
# cleaned=0
# scan_time=7623
C:\Program Files\VistaCodecPack\Tools\Settings32.exe Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\ProgramData\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\All Users\VistaCodecs\{3161B7F4-69FC-4FB6-9842-BC00F231CBEF}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\3952cc99-4ed09678 Java/Exploit.CVE-2011-3544.AB trojan (unable to clean) 00000000000000000000000000000000 I


wie schauen die nächsten Schritte aus?

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

oh, sorry.. hier die Daten in platzsparender Form:

OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hier die logfile:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

hier die Daten:

Danke schon einmal zwischendurch für die verständlich und nachvollziehbaren Anweisungen!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hier die file:

was mir auf den ersten Blick aufgefallen ist ich hab den internet explorer als icon auf dem desktop und firefox war nicht mehr Standartbrowser, aber das is sicher normal.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

und hier die verlangten files:

gmer:

[code]
GMER Logfile:
--- --- ---


OSAM:
aswMBR:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Gute Nachricht es ist alles glatt gegangen!

[code]

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-01-26 22:44:02
-----------------------------
22:44:02.721 OS Version: Windows 6.0.6002 Service Pack 2
22:44:02.722 Number of processors: 2 586 0xF0D
22:44:02.723 ComputerName: SEBASTIAN-PC UserName: Sebastian
22:44:04.208 Initialize success
22:44:13.682 AVAST engine defs: 12012601
22:44:28.081 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
22:44:28.081 Disk 0 Vendor: Hitachi_ BBFO Size: 238475MB BusType: 3
22:44:28.096 Disk 0 MBR read successfully
22:44:28.096 Disk 0 MBR scan
22:44:28.112 Disk 0 Windows VISTA default MBR code
22:44:28.127 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 10240 MB offset 2048
22:44:28.143 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 114570 MB offset 20973568
22:44:28.159 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 113663 MB offset 255612928
22:44:28.190 Disk 0 scanning sectors +488394752
22:44:28.268 Disk 0 scanning C:\Windows\system32\drivers
22:44:44.149 Service scanning
22:44:45.802 Modules scanning
22:45:12.260 Disk 0 trace - called modules:
22:45:12.275 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
22:45:12.291 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x865b5ac8]
22:45:12.291 3 CLASSPNP.SYS[8aeab8b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8541a028]
22:45:13.087 AVAST engine scan C:\Windows
22:45:21.089 AVAST engine scan C:\Windows\system32
22:48:50.473 AVAST engine scan C:\Windows\system32\drivers
22:49:17.507 AVAST engine scan C:\Users\Sebastian
22:51:40.357 AVAST engine scan C:\ProgramData
22:53:50.289 Scan finished successfully
22:54:51.831 Disk 0 MBR has been saved successfully to "C:\Users\Sebastian\Desktop\MBR.dat"
22:54:51.847 The log file has been saved successfully to "C:\Users\Sebastian\Desktop\aswMBR1.txt"

[\code]

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier der eset-scan:
superantispyware:


malewarebytes:

hoffe die Neuentdeckungen sind nicht so schlimm?

Sieht ok aus, da wurden nur Cookies gefunden. Die können weg. Und offensichtlich hat ESET Fehlalarme im Vista-Codec-pack gemeldet.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

nein, nix..außer das ich das gefühl hab das er länger braucht um hoch zufahren..ist aber eher subjektiv (denke ich) da ich sonst nie davor sitze wenn er hoch fährt.

aber bitte verrate mir noch wie ich das system in zukunft sicherer machen kann, ich vorher nie probleme hatte bzw. auch immer hinter her war mit aktualisieren und scannen ( mit avira und spybot) ..zählt das nix? soll ich da lieber auf eset und malewarebytes setzen?

ein riesen großes DANKESCHÖN an dieser stelle an dich!
du hast mir sehr geholfen!

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ein riesengroßes dankeschön nochmal!

wenn ich combofix über das ausführ-fenster schließen will bringt es die fehlermeldung das es es nicht findet.
und es ist auch nicht als installiertes programm aufgeführt.

Downloade dir bitte CF_UNINST.exe und speichere diese auf deinem Desktop.

• Starte die CF_UNINST.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Folge den Anweisungen auf dem Desktop.
• Wenn das Tool fertig ist sollte sich ein Fenster mit folgendem Inhalt öffnen: Done

danke, wie du gesagt hattest..ein fenster und darin done!

wie läuft das jetzt ab, da dieses von mir eröffnete thema (oder besser die bearbeitung deinerseits) ja auf mein problem zugeschnitten ist, hilft es ja den anderen nicht. bleibt das dann als datenmüll bei euch auf dem server oder muss ich mich als "eröffner" des themas drum kümmern das das gelöscht wird?

besten gruß

Hier wird nichts gelöscht!

ich weiß, mir wurde geholfen und ich sollte (bin es auch) zufrieden sein, aber was macht es denn für einen sinn das die beiträge nicht gelöscht werden. es wird ja auch immer betont das das jeweils individuelle problemlösungen sind.

Einfach mal die Hinweise lesen => http://www.trojaner-board.de/108422-...-anfragen.html