Trojaner-Board - "Windows XP Repair" Virus und Datensicherung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "Windows XP Repair" Virus und Datensicherung (https://www.trojaner-board.de/100480-windows-xp-repair-virus-datensicherung.html)

"Windows XP Repair" Virus und Datensicherung

Hallo.
Bevor ich anfange, mein Problem zu beschreiben, schicke ich vorweg, dass ich kein grosser Experte bin. Ein bisschen was weiss ich, aber ich befürchte, dass ich zur Problembehebung eine recht genaue Anweisung brauche.
Seit heute Nachmittag ist mein notebook mit einem Virus/Trojaner befallen, der unter anderem Windows XP Repair öffnet. Ich habe bereits gesehen, dass ich anscheinend nicht der Einzige bin, der diese Problem hat. Auch bei mir die üblichen Symptome... schwarzer Hintergrund, icons auf dem desktop und in der Startleiste weg, zwischendurch kommen immer mal Meldungen von wegen mit der Festplatte wäre etwas nicht i.O. etc.
Ich wäre super dankbar, wenn mir jemand behilflich sein könnte und das Schritt für Schritt mit mir durchgehen würde. Wenn ich komplett neu installieren muss, dann sei es so. Besonders wichtig ist mir aber, verschiedenste Daten, vor allem Bilder und Musik zu sichern. Ich habe irgendwo gelesen, dass man mit einem extern durch CD ausgeführten Brennprogramm die Daten recht problemlos sichern kann, ohne Gefahr zu laufen, den Virus mit zu exportieren. Auch das wäre ich für Hilfe oder Tipps dankbar!

Die defogger_disable Datei enthielt folgendes:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:25 on 18/06/2011 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

OTL scan habe ich auch durchgeführt, die Dateien sind recht lang, kann sie aber gerne posten, falls sie benötigt werden.

hi,
sicher werden sie benötigt.
zippe oder nutze rar und hänge das archiv an :-)

Inzwischen habe ich mich ein bisschen durch die threads gelesen und einige Tipps dort befolgt. Mithilfe von rkill, combofix und mbam scheint der Virus momentan erstmal gebannt.
Soll ich nochmal einen OTL scan machen und das dann hier gezippt posten? Noch einen anderen log?
Das beste wird wahrscheinlich trotzdem sein, neu zu installieren. Würde aber gern wissen, ob ich jetzt ohne grösseres Risiko meine Daten "normal" runterbrennen kann, solange die Programme nichts finden?!

wo ist das combofix log, combofix.txt
und mbam log, zu finden unter malwarebytes, logdateien,
sonst können wir die frage ja kaum beantworten :-)

Hier das letzte log von mbam:

Zitat:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6890

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.06.2011 17:30:58
mbam-log-2011-06-19 (17-30-57).txt

Scan type: Full scan (C:\|)
Objects scanned: 303356
Time elapsed: 2 hour(s), 0 minute(s), 33 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Combofix lasse ich grad nochmal schnell laufen und poste es dann...

hab ich gesagt noch mal? ich möchte das erste log.
und ich möchte nicht nur das letzte malwarebytes log, hier gabs doch keine funde.

Ok, hier das erste mbam log:

Zitat:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6890

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

19.06.2011 01:03:59
mbam-log-2011-06-19 (01-03-59).txt

Scan type: Quick scan
Objects scanned: 187481
Time elapsed: 6 minute(s), 27 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 3
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Hier das zweite, das eben gepostete war das dritte (und letzte):

Zitat:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6890

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.06.2011 04:38:27
mbam-log-2011-06-19 (04-38-27).txt

Scan type: Full scan (C:\|)
Objects scanned: 303639
Time elapsed: 2 hour(s), 53 minute(s), 19 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Qoobox\quarantine\C\dokumente und einstellungen\all users\anwendungsdaten\pbpxdessjqx.exe.vir (Trojan.FakeHDD) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b991f27a-883f-42a9-a172-eaab1d37fffa}\RP619\A0069276.exe (Trojan.Agent.PF) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b991f27a-883f-42a9-a172-eaab1d37fffa}\RP621\A0069628.exe (Trojan.FakeHDD) -> Quarantined and deleted successfully.

Die beiden combofix logs sind angehängt.

ok, du kannst jetzt deine daten ganz normal sichern, auf ne festplatte kopieren brennen etc.

Ok, super, danke!
Würdest Du trotzdem empfehlen, alles zu formatieren und neu zu bespielen?

ja, ich dachte das war der plan.
wir formatieren, und sichern das system dann richtig ab gegen schädlinge :-)
weist du wie das mit dem formatieren und neu instalieren läuft?

Jein.
Ich habe es mir damals von einem Bekannten bespielen lassen. Wahrscheinlich würde ich ihn das wieder machen lassen, bevor ich da irgendwas falsch mache. (ganz so viel Arbeit will ich Euch ja auch nicht machen... ;) )
Allerdings würde ich dann sehr gerne darauf zurück kommen, das System dann vernünftig abzusichern, denn anscheinend kennt er sich damit nicht ganz so gut aus.
Kann ein paar Tage dauern, aber würde mich dann hier im thread wieder melden, wenn das ok ist?!

falls ichs übersehe schreib mir ne private nachicht.
klar ists ok, sonst hätte ichs kaum angeboten :-)

Super, danke schonmal für die Hilfe und ich meld mich dann!