Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme
 

Moin,
ich hatte folgende Trojaner und ähnliches Zeugs auf meinem Rechner.
Begonnen hat als mit einer Meldung wie Festplatte oder Sektor defekt, dann startet das Programm 'Windows 7 Recovery', Hammer.

Trojaner und Viren habe ich mit Hilfe Avira und Malwarebytes entfernen können, hier die Liste der Viren:
C:\ProgramData\SkMtEGuPVoS.exe ist das Trojanische Pferd TR/Kazy.26024.5
AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc

Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD

AppData\Local\Temp\Low\Adobe_Flash_Player.exe Ist das Trojanische Pferd TR/Kazy.25880.4
AppData\Local\Temp\Low\R66v.exe Ist das Trojanische Pferd TR/Kazy.25880.4

Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.S
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.V
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.X
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y

AppData\Local\Temp\Low\Adobe_Flash_Player.exe' Ist das Trojanische Pferd
TR/Dldr.Dapato.eu.1


Avira hat entfernt:

Beginne mit der Suche in 'C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe'
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Dapato.eu.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abc03f6.qua' verschoben!

Beginne mit der Desinfektion:
C:\Users\xxxx\AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b101a7a.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\47b9d066-7d4eb6ee
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '538435af.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\3bd8d795-7de7a4f1
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01d96f3a.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\R66v.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67982084.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22670dc8.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\jar_cache6565206885944589810.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d433fa4.qua' verschoben!

Beginne mit der Desinfektion:
C:\ProgramData\SkMtEGuPVoS.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.26024.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a075981.qua' verschoben!


Malwarebytes hatte folgendes Endergebnis:
c:\programdata\32104184.exe (Trojan.FakeMS) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE3B.exe (Trojan.Agent) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE5B.dll (Trojan.Agent) -> No action taken.
c:\Users\xxxx\AppData\Local\Temp\Low\tmpECB5.tmp (Trojan.FakeMS) -> No action taken.



Aber der PC verhält nun noch ungewöhnlich, nach Neustart und Anmelden (nicht als Admin) gibt es schon zwei IE Prozesse, bei google Suche wird auf teilweise andere Suchseiten wir searchmirror weitergeleitet, der ie scheint sich zu verschlucken läuft dann aber weiter, der flashplayer gibt keine Ton mehr von sich (Systemtöne funken, mediaplayer ist auch mit Ton), zwischendurch hatte der IExplorer nach Start in Adressleiste 'aboutSecurity' stehen, Wunsche habe ich ausgeführt, Meldung kommt nicht mehr.

Malwarebytes (ist erst seit 2 Tagen aktiviert) hat diese Logeinträge:
10:10:41 xxxxx IP-BLOCK 208.87.32.68 (Type: outgoing, Port: 51348, Process: iexplore.exe)
10:11:45 xxxx IP-BLOCK 94.63.149.95 (Type: outgoing, Port: 51366, Process: services.exe)
23:12:14 xxxx IP-BLOCK 208.73.210.29 (Type: outgoing, Port: 49977, Process: iexplore.exe)


Was muss ich tun?
Gruß, Stefan

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis. :)

Hallo M-K-D-B,
danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' :daumenhoc kümmerst.

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Das ist der Inhalt von :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:10 on 12/06/2011 (xxxxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Gruß, Stefan

Hallo Stefan,

Es sind ja Ferien. :daumenhoc


Ja, geht in Ordnung. Einfach weitermachen.
Danke schon mal für das erste Logfile.

Hallo M-K-D-B,
ja, Ferien, ich hab nur Pfingstfrei ...
hier die nächsten Logfiles, siehe Anhang.
Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...
Gruß, Stefan

Hallo Stefan,





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Dein Nachbar hat dir bereits geholfen:
  
  Zitat:

  Zitat von sbie (Beitrag 671200) Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...

  Warum hast du das nicht erwähnt?
• Warum wurde ComboFix ausgeführt?
  Bitte lesen: ComboFix
• Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.
• Welche Tools wurden neben ComboFix und OTL noch eingesetzt?
• Gibt es sonst noch etwas, was ich wissen sollte?
• Welche Probleme hast du derzeit noch mit deinem Rechner?
• Wann hast du dich mit Windows 7 Recovery infiziert?

Dein Rechner ist immer noch mit Malware infiziert.

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• alle Logfiles von MBAM,
• das Logfile von ComboFix,
• die Beantwortung der gestellten Fragen und
• alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Hallo M-K-D-B,
erst einmal vielen Dank das Du immer noch an der Tastaur 'klebst', ohne deine Hilfe wären viele ohne Hilfe.
Weiss auch nicht ganz genau was alle bisher lief, ich versuche alle Fragen zu beantworten, hoffentlich bekomme ich das mit den Zitaten usw hin.. und lade alle hoch..


Als oberflächlich alle Viren verschwanden war ich sehr froh, wer die nun erledigt hat und wie ...... Große Entschuldigung der Nichterwähnung

Ich sach nur Nachbar :-), Logfile kommt...

Genau da war es, siehe Anhang.

Sowas wie unhide , nachdem ''Windows 7 Recovery' und alles gelöscht schien, lies ich meine Hände von der Tastastur und (Viertel)Profis an den PC (Er ist aber trotzdem noch mein guter Nachbar, aber nach Diktat verreist)

Das fällt mir doch immer erst später ein.... :-(
IE 9 wurde am am 9. auf IE 8 'runtergelevelt', da ohne youtube Ton
Nachdem ich Extras.txt nicht gefunden habe, habe ich otl nachmal laufen lassen, also nochmal nach gmer
Malwarebytes (wer hat das eigentlich gestartet) bringt Fehler wie Failed to perform desired action, Error 2 oder 5
Meine Tochter sagt 'facebook' wurde plötzlich geschlossen.
Dort kann sie auch nicht mehr diese komischen Spiele ausführen da der IE immer neu lädt oder neu startet..
Teilweise verlinkung auf Werbe oder andere Suchseiten.., extrem langsame Suchzeit auf google, manchmal war google nach Suchaufruf erst relativ 'leer', flashplayer youtube ihne ton..

Gesehen selbst habe ich es am 9.6.11, da war der Bock fett..

Ich habs geahnt, aufregen nützt aber nichts.

Ich kann ich fast vorstellen wie es mit Ignoranten ;-)) zu arbeiten, aber das sind nun mal die Eigenheiten der Mensch.. von Mir..

Ich bin kein Freund der Windows 7 Suchfunktion, vorher konnte ich direkt im Explorer ... , siehe Anhang, eins habe ich gefunden mbam-log-2011-06-09 (21-31-31)
Ausschnitte aus den protection log hast du ja schon.

Hochgeladen, das war einfach, war ja direkt auf C:

Nach gutem und reinem Gewissen (hoffentlich nichts vergessen und kaum Schreibfehler)
Für den Stress lad ich Dich mal zum Bier ein.
Gruß Stefan

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Hallo Stefan,


Dafür gibt es die sogenannten Code-Boxen über dem Textfeld.
Das Symbol dafür sieht in etwas so aus: # ;)




Schritt # 1: ComboFix.exe löschen
Lösche bitte die vorhandene Datei ComboFix.exe von deinem Desktop.





Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix.

Moin M-K-D-B,

bei Ausführung ComboFix erschien kein Fenster 'Rückfrage Wiederherstellungskonsole', das zweite auch nicht, dafür ist der IE (geöffnet um die Anweisungen zu lesen) sofort gestorben. Den AntiVir Guard habe ich deaktiviert.

Und hier das neu Logfile:
Combofix Logfile:
--- --- ---

Klappt wunderbar mit #
In dem Log habe ich den Admin auf 5x gestellt, die anderen 4 User von 1x bis 4x geändert.

Gruß, Stefan

Hallo Stefan,





Schritt # 1: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 2: Malwarebytes' Anti-Malware deinstallieren
Downloade Dir bitte MBAM-clean.exe
und speichere die Datei auf dem Desktop

• Bitte deinstalliere Malwarebytes via Systemsteuerung --> Programme deinstallieren
• Starte den Rechner neu auf.
• Starte die mbam-clean.exe.
• Das Tool wird erneut einen Neustart verlangen. Dies bitte zulassen.

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix,
• das Logfile von MBAM und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B,
hier meine Rückmeldung.

im Anhang
1. ComboFix02.txt
2. mbam log
3. otl.txt
4. extras.txt

Zwischendurch kam die mbma Meldung
19:40:55 xxxx IP-BLOCK 64.120.141.163 (Type: outgoing, Port: 49364, Process: iexplore.exe) :eek:

Gruß, Stefan

Hallo sbie,






Schritt # 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition

• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt # 3: Systemscan mit OTL

• Starte bitte OTL.exe und drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix,
• das Logfile von SAS und
• das neue Logfile von OTL (OTL.txt).

Hallo M-K-D-B,

hier die Logs,
1. aus FIX mit OTL
2. Log aus SuperAntiSpy
3. und der QuickScan von OTL
Da war doch irgendwo noch der :pfui: Windows 7 Recovery :kloppen:

Nach einer Neuanmeldung sind schon zwei IE Prozesse aktiv (im Taskmanager zu sehen), ist das normal?
Und mbam bringt Failed to perform desired action Error 2

Gruß, Stefan

Hallo Stefan,





Schritt # 1: Beantwortung deiner Fragen
Das könnte am Schutzmodul von MBAM liegen, das du bei der letzten Installation aktiviert hast. Darum kümmern wir uns zum Schluss.


Hattest du zu diesem Zeitpunkt den Internet Explorer bereits gestartet?
Wie läuft dein Rechner derzeit?
Gibt es noch weitere Probleme neben den genannten?


Eventuell haben wir was übersehen. Bitte folgendes durchführen:





Schritt # 2: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
  Solltest du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

  • Drivers
  • Stealth Code
  • Files
  • Code Hooks

  Entferne alle anderen Hacken
  

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

  File --> Save Report

  klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen
Klicke auf OK





Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Nichts und danach den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: DDS Systemscan
Downloade Dir bitte DDS.scr ( von sUBs ) und speichere die Datei auf dem Desktop.

Schließe alle laufenden Programme und starte die DDS.scr mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• DDS wird 2 Logfiles erstellen.
  • DDS.txt
  • Attach.txt
• Speichere beide Dateien auf dem Desktop.

Poste mir bitte die DDS.txt und die Attach.txt hier in deinen Thread.





Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von RKU,
• das Logfile von aswMBR,
• das neue Logfile von OTL (OTL.txt) und
• die beiden Logfiles von DDS.

Hallo M-K-D-B,

komme momentan nicht weiter, siehe 3.

Hier schon mal 2 Antworten.
1. OK, mbam zum Schluss.
2. Nein, die IE Prozesse sind sofort nach Anmeldung aktiv, kein IE manuell gestartet.
3. Beim entpacken RkU3.8.389.593.rar bekomme ich nur die RKUnhookerLE.EXE, kein Ordner und damit kein RKU3.8.388.590.exe (auch mit Suchfunktion nicht zu finden)
Was ist zu tun?

Gruß, Stefan

Hallo Stefan,


RKU stellen wir zurück, das muss ich erst abklären. Wir machen folgendes:




Schritt # 1: Störende Programme

• Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
• Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
• Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt # 2: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wie läuft dein Rechner derzeit?
• Gibt es noch irgendwelche Probleme (abgesehen von MBAM)?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von GMER,
• das Logfile von aswMBR,
• das neue Logfile von OTL (OTL.txt) und
• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B,

alles erledigt,
Schritt # 1: Störende Programme: Programm musste ich erst suchen... ausgeführt mit Admin, alle Resi Haken weg, Neustart

Schritt # 2: GMER Rootkitscan: dieses Programm muss ich immer 2* starten da das Programm beim 1. Versuch nach 1 bis 2 Minuten abbricht. Und wenn ich das Log nicht abspeichere muss ich nochmal Neustarten (und habe dabei leider AviraGuard noch laufen lassen). Aber Inet war abgestöpselt, alle anderen Programme gestoppt.
[CODE]
GMER Logfile:
--- --- ---


Schritt # 3: aswMBR.exe ausführen
Log:
Schritt # 4: Benutzerdefinierter Scan mit OTL
OTL Logfile:
--- --- ---


Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit? Oberflächlich keine Probleme, nach Neustart lange Zeit Festplattenaktivitäten, nach Neustart immer 2 IE Prozesse im Taskmanager zu sehen.
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)? Nö, ich mach ja nichts mehr anderes, meine Tochter kann ich erst morgen fragen.

Schritt # 6: Deine Rückmeldung
Ist nun fertig.

Gruß, Stefan

Hallo Stefan,


ich möchte noch den MBR überprüfen.






Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
• Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert? Eventuell eine andere Windows Version, Linux oder Ähnliches?

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des TDSS Killers,
• das Logfile von MBRCheck und
• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B,

Ich möchte ja, aber das Programm startet nicht.
Schritt # 1: TDSS Killer ausführen
tdsskiller.exe
TDSS rootkit removing tool
Version 2.5.4.0

Habs probiert mit Kompatibilität XP3, XP2, NT5, Vista

Vorab:
Schritt # 3: Fragen beantworten: Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert?
Nein, nichts davon, auch nichts ähnliches.

Wenn Du mir erzählst wie ich Bilder einfüge kann ich dír auch meine Taskliste geben, vielleicht hilfst ja.

Aber, Was ist nun zu tun?
Gruß, Stefan

Hallo,

habe schon einmal weitergemacht,
Schritt # 2: Scan mit MBRCheck
hier das Log
Found non-standard or infected MBR.

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)


Gruß, Stefan

Hallo Stefan,


Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.


Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst. :wtf:




Versuche bitte noch folgendes:

Schritt # 1: Windows im abgesicherten Modus starten
Starte bitte dein Windws 7 im abgesicherten Modus.

Und führe nun den TDSS-Killer nochmals im abgesicherten Modus vom Desktop aus:


Schritt # 2: TDSS Killer ausführen

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Starte deinen Rechner neu auf.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die genaue Fehlermeldung des TDSS-Killers,
• das Logfile des TDSS-Killers,

Hallo M-K-D-B,

Keine Textdatei, leider nicht.

Keine Fehlermeldung, kein Start des Programmes, keine Möglichkeit etwas auszuwählen.

OK

Klar habe ich das Programm auf dem Desktop abgespeichert und versucht zu starten.
Damit meine ich, ich habe das Programm autoruns.exe, dieses zeigt einen Liste (kennst Du hundertpro) mit z.B. den Programmen die bei Rechnerstart ausgeführt werden usw. In der Liste fand ich dann unter dem Punkt Scheduled Tasks diese 4 Einträge.
Dieses sind die Einträge
\{17BC5798-2118-4963-9B20-5C7238DE7D37} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{9D526A73-F749-4B5D-B20D-66D123B020C1} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{EF1B8592-03D4-4C87-859E-0F399CACEB92} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{F99817D0-FC7C-4548-B781-9A7F1DE873D2} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe

Wobei xxxx mein User ist.
Ich lege nun mit den nächsten 3 Schritten los.

Gruß, Stefan

Hallo M-K-D-B,

Hab ich gemacht und wunderschöne größe Icon :crazy: gesehen. Hier aber startet der TdssKiller auch nicht.....

(Nun schreib ich mal ein bischen mehr) :kaffee:
Dann Neustart normal, google nach tdsskiller, klick auf
support.kaspersky.com/viruses/solutions?...
dann kam beim ersten mal
hxxp://search.de.wahnsinns-schnaeppchen.de/?action=search&keyword=tdsskiller+download
und sowas wie podcastmania...

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam
hxxp://secure.bidvertiser.com/performance/bdv_rd.dbm?enparms2=9377,959089,1180416,9278,9285,9285,9328,0,0,9282,0,956546,8137,171683,10127,9294,589877912,7836673%3C%3C37%3E,92%252U2%25RIY%2BY3% 250.4U2%25gmvwriG%2BY3%251.6%2BGM%2BhdlwmrD%2BY3%250.8%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,nlx.qmvigzvsgbgrmfnnlx.dddu2%25u2%25%3Akggs&ioa =0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=484-direc10&u_agnt=&skter=wzlomdlw%2Bivoorphhwg&frdto=oh%3Df%26f%3Diz%26z%3Dhg%26i%3Dgz%2601XVIRW-484_218949%3Dwrg%26wzlomdlw%2Bivoorphhwg%3Dnivg%2634330756%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam endlich
hxxp://support.kaspersky.com/viruses/solutions?qid=208280684 :singsing:

Warum eigentlich hxxp?

Von dort habe ich dann den tdsskiller zip geladen, entpackt und läuuuffft!.
(Die exe hat nun eine andere Größe.)
Und ne andere Version
Alt: Version 2.5.4.0
Neu: Version 2.5.5.0

Nix Fehler mehr.

hier endliche das TDss Log, ich sach nur Wolfs Schnapp:kloppen: oder so ähnlich
Neustart, super, auch keine IE Prozesse mehr.
Fast fertig, oder?

:Boogie: Bis hierher schon mal einen großen Dank! :abklatsch: :party:

(Bin fast wieder entspannt)

Habe gerade den flash player auf youtube getestet, musik ist auch wieder zu hören, meine Tochter wird sich freuen!!

(Bin wieder weniger entspannt :crazy: )

Für ganz später: Welche Viren / Trojaner Schutzprogramme sind zu empfehlen / zu installieren?

Gruß, Stefan

Hallo Stefan,




Du hast dir anscheinend gerade die neueste Version heruntergeladen. :daumenhoc



Das TDSS Rootkit hat den TDSS Killer blockiert, war für die Umleitungen und für die beiden IE Prozesse verantwortlich.
Sieht so aus, als hätte der TDSS Killer das Ding zur Strecke gebracht. :kloppen:


Ja fast.
Da dein Rechner sehr start infiziert war, kommen abschließend noch ein paar Kontrollscans und Updates. Sollten diese unauffällig sein, so räumen wir die verwendeten Tools beim nächsten Mal auf und ich gebe dir noch ein paar wertvolle Tipps. Wir habens bald geschafft! :daumenhoc





Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 2: Java deinstallieren/neu installieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Deinstalliere bitte Java(TM) 6 Update 20
• Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
• Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 3: Wichtige Updates

• Deinstalliere bitte deine aktuelle Version von Adobe Reader:
  Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
  und lade dir die neue Version von Hier herunter.
• Entferne den Hacken für den McAfee SecurityScan.

Schritt # 4: TDSS Killer ausführen

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: aswMBR.exe ausführen

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 6: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Poste nun den Inhalt der log.txt.





Schritt # 7: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 8: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile des TDSS-Killers,
• das Logfile von aswMBR,
• das Logfile des ESET Online Scanners und
• das Logfile von SecurityCheck.

Moin M-K-D-B,

Noch 3 böse Einträge.
Log ist hier:
Fertig

Fertig

Log hier:

Log ist hier:
Hat sehr lange gedauert, war dann bei Ende nicht am Platz, Rechner hatte wohl durchgestartet, Anmedebildschirm war aktiv. Ich lasse den Bildschirm noch 15 Minuten stehen, dann fahr ich den Rechner runter.
Laufwerk F: ist meine Sicherungsplatte...

Ist das Programm noch nichtr zuende? Box steht noch mit der Meldung 'Results have been copied to checkup txt, which should open now!'
Alles da....

Gruß, Stefan

Hallo Stefan,





Schritt # 1: Wichtige Hinweise
MBAM hat noch folgendes gefunden:
Dieser Trojaner spioniert Passwörter aus. Kein Online-Banking und keine Online-Einkäufe mehr machen!

Daneben hat ESET noch einiges gefunden:
Darum brauchen wir uns nicht kümmern; das Erledigt ComboFix bei der Bereinigung.

Darum kümmern wir uns jetzt noch mit OTL.

Dieses Backup vom 09. Juni ist infiziert. Ich empfehle dir, die aufgelisteten Archive von Hand zu löschen.





Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  %userprofile%\Desktop\MBR.dat

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 4: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wie läuft dein Rechner derzeit?
• Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix,
• den Link zum Ergebnis von VirusTotal,
• das neue Logfile von OTL (OTL.txt) und
• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B


Schritt # 1: Wichtige Hinweise
Der Trojan.Spyeyes ist doch 'Quarantined and deleted successfully'. Ist der trotzdem noch auf dem Rechner, wie aktiviert sich das Programm?
Online Banking mach ich hier seit Tagen nicht mehr, nur email Abfrage aus dem freien Netz.


Schritt # 2: Fix mit OTL
Log:

Schritt # 3: Kontrolle mit VirusTotal
der Link
Das erste Ergebnis:
Das keinerlei Aktion mehr zu sehen oder zu hören war, habe ich virustotal geschlossen und ein 2.tes mal aufgerufen, hier kam dann natürlich auch der Button Reanalyse.
Link:
Das 2te Ergebnis:

Schritt # 4: Benutzerdefinierter Scan mit OTL
Beim zweiten Start kam als erstes das Notepad hoch mit dem Inhalt
Log:
OTL Logfile:
--- --- ---


Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.

Sind nun alle Trojanerchen weg?

Gruß, Stefan

Hallo Stefan,



so, nun bin ich wieder da. :)


Sieht ganz gut aus. Bevor meine Abschlussantwort kommt, müssen wir uns noch folgendes ansehen:

SecurityCheck hat noch folgende Meldung herausgegeben:
Das sollten wir uns noch genauer ansehen. Eventuell wurde dieser Windows Dienst durch das Rootkit deaktiviert oder verändert. Dann müssen wir das beheben!





Schritt # 1: Registry mit ERUNT absichern
Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.





Schritt # 2: Batch Datei ausführen
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: suche1.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
• Starte die suche1.bat.
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten"
• Es öffnet sich die Textdatei ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Ergebnis der Batch Datei.

Wunderbar, Adminausflug?


Nicht vergessen.

ist hier: (lag auf dem Desktop des Admins)
Diesmal mit Klick auf Antworten, Vorschau reicht einfach nicht....
Gruß, Stefan

Hallo Stefan,



Nein, Hochzeit. :D


Der Service startet automatisch mit Windows, das ist in Ordnung so. :daumenhoc Hier scheint ein Fehler von SecurityCheck vorzuliegen.




Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

• Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
  • ERUNT
• Führe gegebenenfalls einen Neustart deines Rechners durch.
• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

• Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
• Möchtest Du ESET denoch deinstallieren:
  Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
  
  Code:

  ---

  "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

  ---

• Drücke OK.

Schritt # 5: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code:

  ---

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

  ---

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 6: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks oder andere illegale Software!
• Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 7: Passwörter ändern

• Du warst mit einem Trojaner infiziert, der Passwörter ausspäht.
• Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

:daumenhoc Hallo M-K-D-B,

Wenns die eigene war, Glückwunsch nachträglich, wenns nicht die eigene war, hoffentlich war spaßig.

erledigt.

alles weg und Neustart....


fertig.

werde ich beherzigen.


System ist nun aktuell, hat gedauert und gedauert, aber nun ist auch wieder IE 9 drauf.

OK, muss ich mich noch einlesen.

Bin ich noch bei.

Alles in Ordnung, noch einmal vielen, vielen Dank :abklatsch: für deine Hilfe!

Gruß, Stefan

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.