Brauche Hilfe, irgendwas stimmt nicht
 

Hallo,
ich habe ein Problem. Kurz vorweg, ich bin absoluter Anfänger und erklärt bitte alles als ob ihr es einem drei jährigen erklärt. Ich hoffe ich könnt überhaupt helfen.
Zum Problem: Ich habe vor ein paar Tagen etwas runtergeladen, igend ein Player, weil ich was anschauen wollte glaub ich. Dann spann Google Chrome und alles stand still.
Nachdem ich den PC wieder hochgefahren hatte dachte ich sicher ist sicher, schaust mal mit Kaspersky, was ich angeklickt habe und nichts tat sich. Dann dachte ich wieder sicher ist sicher und wollte Systemwiederherstellung machen, geht alles, dann auf weiter und nix passiert mehr, keinerlei Reaktion auch nicht nach 20 Minuten.
Dann habe ich Antivir runtergeladen und Kaspersky gelöscht. Beim Suchen werden jetzt regelmäßig Trojaner gefunden die ich lösche bzw. in die Quarantäne verschiebe und beim nächsten Suchlauf werden sie wieder gefunden.
Dann habe ich hier was gelesen von Ad-Aware, hab das gemacht im abgesicherten Modus und es hat nix gefunden. Ich weiß nicht mehr weiter, wie wär ich froh wenn ihr Hilfe habt. Ich hab hier schon ein wenig gelesen und hab das mit dem Hijack gemacht, hoffe das passt so
Bitte bitte helft mir, ich möchte keinen Trojaner haben :heulen:
Danke

Edit:
Die Trojaner die gefunden werden sind

TR/Dldr.Agent.brpo
TR/Agent2.iex

Hallo,

und gleich vorweg, Du hast einen Trojan.DNSchanger auf deinem System.

Bitte KEIN OnlineBanking, kein eBay und Amazon mehr durchführen.
Bei Auffälligkeiten in deinen Kontobewegungen bitte das Konto sperren lassen.

Bitte von einem sauberen Rechner aus deine Passwörter und Userdaten von Accounts ändern. Wer weiß wie lange der sich schon da rumturmelt.

Führe Malwarebytes durch und poste das Log.
Danach führst du dieses hier durch um zu schauen, ob Rootkits vom DNSchanger sich in einem System verbergen.
Gehe bitte dieses hier durch: GMER - Rootkit Detector and Remover - Files und postest das Log hier rein.

Oje
Habe Malewarebytes runtergeladen und istalliert, es tut sich aber nix, es wird nicht geöffnet.
Auch das Update kam nicht.

Ist das die Log Datei von GMER? ich hoffe

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

combo bringt die warnung, kaspersky security suite cbe sei noch aktiv, jedoch kann ich es nirgends finden und ich habe kaspersky auch über software schon gestern entfernt, was soll ich tun

Das betrifft zwar eine ältere Version, vielleicht klappt es aber doch:
I am getting worried for Kaspersky - Kaspersky Lab Forum

ciao, andreas

Nein leider nicht :teufel1:

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg

1. Klicke auf Téléchargement de ZHPDiag
2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
4. Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
5. Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
6. Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
8. Drücke [Strg]v, [Strg]a
9. Klicke auf # http://pic.leech.it/i/3c634/c3cdedaraute.jpg

ciao, andreas

Info Editor

Log Editor

Fortsetzung Log Editor

ZHP DIAG fordert einen Benutzernamen und ein Passwort

Einfach nach einer Weile noch einmal versuchen.

Bei dir weiß man nicht, wo man anfangen soll. :(
Du sparst dir eine Menge Zeit, wenn du die Neuinstallation wählst.

1.) Start => Ausführen => cmd => OK
sc stop mailkmd [Enter]
sc delete mailkmd [Enter]
exit [Enter]

2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

3.) Neustart

4.) Neues HJT-Log posten.

ciao, andreas

Du machst mir Mut ;)
Ich glaub das mit der Neuinstallation trau ich mir nicht ganz zu obwohl mir das schon das liebste wär wenn dann die trojaner weg sind

Ich möchte dir nur nichts vormachen. Bereinigungen dauern immer länger als Neuinstallationen und da ComboFix nicht will, muss ich stattdessen 3 Programme einsetzen.
Wir haben eine einfache und sehr ausführliche http://www.trojaner-board.de/51262-a...sicherung.html
Wir bekommen sie auch anders weg, aber Neuinstallation ist immer der schnellste und sicherste Weg.

ciao, andreas

ZHP Diad

Fortsetzung ZHP Diag

Fortsetzung ZHPDiag

1.) Deinstalliere:

• Ad-Aware
• Adobe Reader 7.1.0 - Deutsch
• Apple Software Update
• ElsterFormular 2006/2007 (könnte knapp werden) :)
• Google Desktop
• ICQ Toolbar
• J2SE Runtime Environment 5.0 Update 7
• Java(TM) 6 Update 10
• Java(TM) 6 Update 2
• Java(TM) 6 Update 3
• Java(TM) 6 Update 5
• Java(TM) SE Runtime Environment 6 Update 1
• Skype™ 3.8
• UseNeXT (Virenschleuder)

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Skype herunterladen und kostenlose Skype-to-Skype Telefonate führen
• Download der Java-Software von Sun Microsystems
• Adobe Reader oder besser FoxIt Reader
  

3.) Jetzt klicke auf "Für alle Neuen" in meiner Signatur, lies alles und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

HI,
ich hatte den PC jetzt bei nem Bekannten und er meinte, er konnte den Virus und einen Wurm entfernen. Jetzt bin ich mir nicht sicher, ob das auch so "einfach" geht und der PC wirklich sauber ist.

Vielleicht kannst nochmal nen Blick drauf werfen, freuen würds mich ja, wenn er sauber wär bzgl Homebanking etc...zumal AntiVir immer noch Trojaner findet, wohl aber nicht damit umgehen kann oder so...

hab alles gemacht was du geschrieben hast nur die ICQ Toolbar ließ sich nicht entfernen und Malwarebytes reagiert auch nicht (Für alle Neuen).

Du befolgst jetzt erstmal alles, das hier steht: http://www.trojaner-board.de/431272-post13.html

Anschliessend postest du das Log von Avira mit den Meldungen. Ich brauche die Dateinamen und Pfade, so wie es auch in den Trojaner-Board - Impressum steht.
Ja, in keinem anderen Wissensgebiet gibt es soviele wie in der Computerbranche, die glauben sie hätten Ahnung.

ciao, andreas

Naja dieses "glauben" hat ihm zumindest 35 Euro eingebracht :teufel1:
Avira folgt

hjt

Meldung: Das ist das Trojanische Pferd TR/Agent2.iex,
Quelle c:\windows\system32\drivers\gxvxcaavdymtnqwhpmbnmpjwiemqrmwuyabwe.sys

Meldung: es wurde eine versteckte Datei gefunden
Quelle: c:\windows\system32\gxvxccounter

Meldung:ist das Trojanische Pferd TR/Dldr.Agent.brpo
Quelle: c:\windows\system32\gxvxcmovrerfolilrlxbcnpxurtejhfsxpvhq.dll

Warum nicht gleich so? :confused:

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hopsassa
ComboFix sagt nach wie vor, dass etwas von Kaspersky Security aktiv ist, soll ich trotzdem ausführen?

Ja, unbedingt, sonst wirst du das Teufelszeug nie los.

ciao, andreas

1.) Gehe zu dem Typen und hole dir dein Geld zurück. :D

2.) Deinstalliere (falls möglich):

• FoxIt Toolbar

3.) Download und Ausführung des Norton-Entfernungsprogramms

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld und ändere alle XXX durch den Benutzernamen:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

5.) Neues Gmer-Log posten.

6.) Malwarebytes laufen lassen und Log posten.

7.) SASW laufen lassen und Log posten.

8.) Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing9.bat auf deinen Desktop
• Doppelklicke auf listing9.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

1.) das nehm ich mit :aufsmaul:
2.) deinstalliert
3.) erledigt
4.)

Da ist etwas schiefgelaufen. Bitte genau an die Anleitung halten und das Script noch einmal ausführen.

ciao, andreas

Bitte nicht mehr in den ComboFix-Logs editieren, sollte da nur dein Vorname drinstehen, dann lasse ihn drin. Nur wenn dein voller Name da steht, dann schicke mir das Log OHNE Änderungen per PN.

ciao, andreas

Für die Zukunft oder nochmal?

Für die Zukunft. Benutze die Windowssuche und suche nach Kaspersky. Lösche alle Ordner, die du findest.

ciao, andreas

Keine Dateien gefunden. Bei Optionen alles angehackt außer Groß- und Kleinschreibung beachten.

GMER läuft und auch Malwarebytes läuft jetzt

Bitte nacheinander laufen lassen, sonst dauert es länger und die können abstürzen. Und bei MalwareBytes unbedingt vorher auf Suche nach Aktualisierungen klicken.

ciao, andreas

Gmer deinstallieren.

ciao, andreas

Wie mach ich das am besten, unter Software ist es nicht drin und auch bei Programme nicht. Einfach löschen?

Ja. Die Reste entfernen wir zum Schluss mit ComboFix.

ciao, andreas

nichts gefunden, kann ich malwarebytes schließen oder muss ich mit den gefundenen noch was machen?

http://www.materialordner.de/fl0eRqo...RQ2Xo20E2.html

Klick auf "Ausgewählte entfernen".

ciao, andreas

Beim Hochfahren kommt jetzt immer die Meldung "Can not load Hotkey.sys"

Kann es sein, dass diese Meldung "Can not load Hotkey.sys"
damit zusammenhängt, dass ich keine Internetverbindung mehr bekommen (schreibe von nem anderen PC).
Am Laptop war rechts unten bei der Uhr immer so ein Zeichen, dass W_Lan aktiv ist und er hat sich automatisch eingewählt, jetzt passiert nix und das Zeichen ist weg. Auch manuell über Verbindungen bekomm ich nix, da heißt es keine Netzwerkverbindung in Reichweite gefunden.
Ich denke das liegt am Launch Manager, da drin hab ich das Symbol gefunden das heißt WLBTTray. Wenn das grün geleuchtet hat hat sich der Laptop ins internet eingewählt. Vielleicht haben wir da nen Treiber oder sowas gelöscht?


Edit: Hab den Launch Manager deinstalliert und neu installiert, jetzt gehts wieder, auch die Meldung mit dem "Hotkey" ist weg.

Danke Gerd

Gut. Habe gerade den Treiber gesucht. Das hier wäre er gewesen:
http://cdgenp01.csd.toshiba.com/cont...til_24597A.exe

Nächste Schritte:
1.) Deinstalliere SuperAntiSpyware.

2.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Dr. Web negativ

ActiveScan 1 Fund

Bitte lade die Datei
gemäß dieser Anleitung bei uns hoch.

Lade dir den Regseeker

http://www.hoverdesk.net/images/reg-find.jpg

• Klick auf Clean the registry
• Klick auf OK
• Warte bis er fertig gesucht hat
• Klick auf Select => markiere nur die Grünen
• Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker noch dreimal.

ciao, andreas

alles erledigt

Logs sind sauber, wie geht es dem Rechner?

ciao, andreas

Der läuft soweit ganz normal denk ich, mir fällt nix auf außer dem vollen Destoskop :singsing:

1.) Start => Ausführen => combofix /u => OK

2.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

Du bist entlassen.

ciao, andreas

Na das war ja einfach :aplaus:

Echt oder? Das heißt alles wieder gut, wahnsinn. Homebanking ich komme.

Und wie kann ich mich ordnungsgemäß bedanken.

Das allein reicht ja wohl nicht :knuddel:

Kann man irgendwo was spenden oder ähnliches?

Lg Gerd