Trojaner-Board - Nach verschiedenen Viren (Recovery/iTan Sparkasse) gehen verschiedene Sachen nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach verschiedenen Viren (Recovery/iTan Sparkasse) gehen verschiedene Sachen nicht mehr (https://www.trojaner-board.de/100015-verschiedenen-viren-recovery-itan-sparkasse-gehen-verschiedene-sachen-mehr.html)

Nach verschiedenen Viren (Recovery/iTan Sparkasse) gehen verschiedene Sachen nicht mehr

Hallo Zusammen,

ich habe mir vor 1,5 Wochen auf meinem Laptop (Win 7 prof.) so manches eingefangen.

Zuerst bekam ich den HP Recovery Virus, diesen habe ich mit Hilfe dieses Boards entfernen können.

Danach war mir noch aufgefallen, das bei meinem Sparkasse Online Banking eine skurile iTan abfrage kam. Diese habe ich auch mit Hilfe diesen Boards entfernen können.

Es bleiben jedoch noch so manche Symptome bestehen.

Skype nicht mehr, beim Anmelden erhalte ich eine Meldung "Skype funktioniert nicht mehr"
Ab und zu erhalte ich auch "Internet Explorer funktioniert nicht mehr" dabei habe ich den gar nicht offen
Im Google Chrome wird keine Seite mehr geladen
Webkit/Safari kann nicht mehr gestartet werden "da wichtige Dateien fehlen"

Glaube das waren alle Symptome, eine Neuinstallation würde ich gerne vermeiden.

Bin froh um jede Hilfe : )

Bzgl. den Logs
Defogger habe ich verwendet und alles deaktiviert. Jedoch wurde ich danach nicht zum Neustart aufgefordert und ich habe auch keine Log gefunden.

Die entsprechende OTL Analyse steckt im Anhang.

Btw: Anti Vir und malwarebytes anti malware läuft inzwischen komplett ohne Befunde durch.

Vielen Dank und Grüße,
Matthias

Poste bitte alle Logs von AntiVir und Malwarebytes

Alles klar, gibts gleich morgen. Hab den Laptop grad nicht zur Hand.

So, im Anhang sind alle Logs von Avira und Malwarebytes.

Vielen Dank und Grüße,
Matthias

Zitat:

Art des Suchlaufs: Quick-Scan
Datenbank Version: 6744

Bitte routinemäßig einen Vollscan mit aktuellem malwarebytes machen und Log posten. (der letzte Vollscan liegt zurück und da waren die Signaturen etwas älter)
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Alles klar, werd ich heute über die Nacht laufen lassen. Danke für den Hinweis.

So, der Full Scan ist durchgelaufen und hat "leider" nicht wirklich was gefunden ... lediglich 2 Dateien, aber das ist ein Programm welches ich schon seit Jahren verwende, darin wird es nicht liegen.

Hast du noch einen Tipp für mich?

Vielen Dank und Grüße,
Matthias

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddrnw"

FF - prefs.js..network.proxy.backup.ftp: "runningspeed.info"

FF - prefs.js..network.proxy.backup.ftp_port: 0

FF - prefs.js..network.proxy.backup.socks: "runningspeed.info"

FF - prefs.js..network.proxy.backup.socks_port: 0

FF - prefs.js..network.proxy.backup.ssl: "runningspeed.info"

FF - prefs.js..network.proxy.backup.ssl_port: 0

FF - prefs.js..network.proxy.ftp: "74.95.17.254"

FF - prefs.js..network.proxy.ftp_port: 80

FF - prefs.js..network.proxy.http: "74.95.17.254"

FF - prefs.js..network.proxy.http_port: 80

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.socks: "74.95.17.254"

FF - prefs.js..network.proxy.socks_port: 80

FF - prefs.js..network.proxy.ssl: "74.95.17.254"

FF - prefs.js..network.proxy.ssl_port: 80

FF - prefs.js..network.proxy.type: 4

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{610473f0-5ba5-11e0-badd-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{610473f0-5ba5-11e0-badd-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{610473f5-5ba5-11e0-badd-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{610473f5-5ba5-11e0-badd-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{699dfb01-b01f-11df-a289-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{699dfb01-b01f-11df-a289-f04da27f6b58}\Shell\AutoRun\command - "" = E:\USBAutoRun.exe

O33 - MountPoints2\{72eab200-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{72eab200-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{72eab203-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{72eab203-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{72eab217-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{72eab217-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{72eab21a-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{72eab21a-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{902e87a3-5c6a-11e0-9f3f-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{902e87a3-5c6a-11e0-9f3f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{a2664595-5986-11e0-a596-f04da27f6b58}\Shell - "" = AutoRun

O33 - MountPoints2\{a2664595-5986-11e0-a596-f04da27f6b58}\Shell\AutoRun\command - "" = E:\autorun.exe

O33 - MountPoints2\E\Shell - "" = AutoRun

O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\USBAutoRun.exe

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe

:Commands

[purity]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hi,

hab den Fix durchgeführt. Die Symptome bleiben jedoch leider bestehen : /

Im Anhang ist die Log.

vg,
Matthias

Ich hab auch nirgendo erwähnt, dass wir dann schon durch seien.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Gut, hab ihn ausgeführt.

Eine Datei ist dem wohl dabei aufgefallen, danach wurde ich zum reboot aufgefordert.

Als ich wieder hochgefahren habe, hat sich Skype direkt eingeloggt. :-)

Meinst das System ist nun wieder Clean?

TDSS wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

Alles klar, hab ich eben gemacht, neu gestartet und den tdsskiller erneut ausgeführt. Nun hat er nichts mehr gefunden.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Sodala, ist ausgeführt. :-)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes