Permanente Meldungen von "ftp34.dll"
 

Hallo...

Ich habe mir die letzte Nacht um die Ohren geschlagen, da mein Virenscanner NOD32 plötzlich einen massiven Virusbefall anzeigte. Ich ließ die komplette Platte scannen. Hier das Logfile dazu:

Nachdem ich diie Trojaner gelöscht habe, wurde ich zum Neustart aufgefordert. Nach dem Neustart fand der gute Virenscanner direkt 2 neue Infektionen.

Danach habe ich im Intenet gestöbert und wurde hier auf dem Board auf folgendes Programm aufmerksam gemacht: SDFix. Leider finde ich den Thread dazu nicht mehr, sonst hätte ich diesen weitergeführt, da dort ein ähnliches Problem geschildert wurde. Jedenfalls hab ich SDFix durchgeführt und bekam folgendes Logfile:

Ich war recht zufrieden, doch jetzt wurde dieser 8b]Win32/TrojanDownloader.Agent.NYW trojan[/b] in der Datei ftp34.dll gefunden. Nur kehre ich auf das Board hier zurück, weil ich keinen Ausweg mehr finde. Hier gibts noch ein hijackthis-Log und ich hoffe, mir kann irgendjemand helfen:

Jetzt schon mal vielen Dank.

Hi,
lasse bitte Malwarebytes Anti-Malware deinen Rechner scannen und alle gefundenen Dateien entfernen. Poste das Log dann hier.

Erstelle bitte außerdem ein Log mit DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

Hier erstmal das LogFile von Malwarebytes:

Check mit DSS folgt gleich...

So.... SDD.exe durchlaufen lassen. Hier die beiden Logfiles:

main.txt

extra.txt Teil 1

extra.txt - Teil 2

Ich hoffe mal, daß ich alles richtig gemacht habe.

Wo genau wurde der Fund denn gemeldet? Also in welchem Ordner?
Die Logs zeigen noch 2-3 Reste der Infektion, allerdings nichts von der ftp34.dll...

Führe bitte noch folgendes durch:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

So...

habe alles so durchgeführt, wie angegeben. Hier das Log-File:

So...

habe NOD32 nochmal durchlaufen lassen und der hat erstmal nichts gefunden. Es scheint wieder alles im Guten zu sein. Ich werde das aber weiterhin beobachten. Mals sehen, was die nächsten Tage bringen.

Hi,

da ist mE noch etwas im Busch! Mache bitte mal folgendes:

Gmer

• Downloade Gmer und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollten geschlossen sein.
• Starte den Scan mit Scan. Bitte während des Scans nichts anderes am Rechner tun.
• Wenn der Scan fertig ist klicke auf Copy um das Log in die Zwischenablage zu kopieren
• Mit Ok wird Gmer beendet.
• Poste das Log bitte hier

Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:

• "Include Empty Locations" -> ein (Haken)
• "Verify Code Signatures" -> ein (Haken)
• "Hide Signed Microsoft Entries" -> aus (kein Haken)

Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.
(Anleitung von KarlKarl :) )

lg myrtille

Log-Text von Gmer:

Log von Autoruns:

Teil 1

Log von Autoruns:

Teil 2

Log von Autoruns:

Teil 3

Das Gmer Log ist ok, der Explorer Hook kann noch von dem gelöschten Rootkit sein.

Flister

• Lade Dir Flister von hier auf den Desktop.
• Entpacke das Archiv auf den Dektop in das Verzeichnis Flister.
• Lade die angehängte flister.bat.txt Datei ins selbe Verzeichnis.
• Benenne die Datei flister.bat.txt in flister.bat um.
• Klicke die flister.bat Datei an. Kurz darauf erscheint eine ergebnis.txt Datei im selben Ordner.
• Diese Datei an Deinen nächsten Post anhängen.

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

Flister ist durch... konnte die Datei nicht an diesen Post anhängen. Deshalb das Ganze als Downloadlink:

http://web3.vps3415.pwa-media.de/stuff/ergebnis.txt

Logfile von Modgreper:

Logfile von Sophos:

So...

Ich habe heut nochmal "Malwarebytes' " und "NOD32" durchlaufen lassen. Es kamen keine Meldungen mehr. Wäre trotzdem nett, wenn jemand die Logs im letzten Post nochmal durchschauen könnte. Danke.

Ich könnte heulen... Nero ist heut während des Brennens abgestürzt. Nach dem Neustart hab ich nur mal auf Verdacht Malswarebytes' durchlaufen lassen:

Danke SdFix, lasse die Finger von dubiosen Anwendungen, ändere Deine Passwörter.
Die Logs sind alle unauffällig.

Vielen Dank für die Hilfe.