Trojaner-Board - Malwarebefall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malwarebefall (https://www.trojaner-board.de/101547-malwarebefall.html)

Und ich habe nun eine OTLPEnet Cd von eine suberen rechner.

Soll ich doch mal diese Logs posten, die du in der Vergangeheit haben wolltest.

Mach doch bitte einfach nur was ich in meiner Anleitung gepostet habe!! Ich will dass diese Datei jetzt ersetzt wird!

OK, ich habes es versucht, ob es gelungen ist weiß ich nicht.

Habe ich eingesand bei euch, es sind zwei Dateien.

Hallo, erst ein mal vielen Dank für deine Hilfe, Mühe, und gedult mit mir.

Was mir eben aufgefallen ist, mein Pc kann ich jetzt ordnugsgemäß herunterfahren, wie es sein soll. So war es eben wie ich in heruntergefahren habe ich hoffe es bleibt so, im momment. Ein großes Dankeschön an dir.

Ich Melde mich.

SO, sieht aus, als wäre jetzt erst der Dateiaustausch erfolgreich gewesen. Schwere Geburt :D - das Teil hier ist es => VirusTotal - Auswertung imapi.sys (md5=b0e444a0ce545928f459f69a3b4f1257)

Wenn ich mich recht entsinne ging bei dir weder Malwarebytes noch OTL. Probier das jetzt mal aus:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ich galube wir sind auf dem bestern Wege, meinen Computer zu bereinigen.

So nun ein frisches Log, von MBAM:

Internet Explorer 8.0.6001.18702
27.07.2011 13:28:37
mbam-log-2011-07-27 (13-28-37).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 232726
Laufzeit: 51 Minute(n), 30 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
i:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP397\A0201954.exe (Adware.WebEnhancements) -> Quarantined and deleted successfully.

Malsehen ob ich noch ein paar ältere Log´s finde.

Files Infected: 6
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\FunWebProductsInstaller.Start.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\FunWebProductsInstaller.Start (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully. [84788b90a25e6a9608b252eb13f1d030]
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199325.DLL (PUP.FunWebProducts) -> Quarantined and deleted successfully. [6597f229fa06e51b95098b31ca3bfe02]
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199326.DLL (PUP.FunWebProducts) -> Quarantined and deleted successfully. [53a9e8331ae65da3057a4c93cd388080]
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199327.DLL (PUP.FunWebProducts) -> Quarantined and deleted successfully. [66963cdfc23ee41c1f608b546a9b4cb4]
i:\200\mywebface.exe (Adware.FunWeb) -> Quarantined and deleted successfully. [b844b3687888f808f373bb5931cfe41c]
i:\200\refog_setup_free_kl_623.exe (Spyware.KGBSpy) -> Quarantined and deleted successfully. [02fa1ffccd3319e762344a9b699c18e8]
i:\200\snm-2.98.exe (Rogue.SpyNoMore) -> Quarantined and deleted successfully. [e4189c7f57a909f743e2dac8996bfe02]

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Database version: 7114
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13.07.2011 18:27:50
mbam-log-2011-07-13 (18-27-48).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 241800
Time elapsed: 50 minute(s), 34 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
i:\200\mywebface.exe (Adware.FunWeb) -> No action taken. [f6d4f922a060837d620b1ef6669a07f9]
i:\200\refog_setup_free_kl_623.exe (Spyware.KGBSpy) -> No action taken. [864474a712eed030249bd20e56af27d9]

Ok, OTL Log volgt.

Ich kann weder vor Ort vorhandene OTL starten, oder löschen oder neu herunterladen, kommen immm wieder Meldungen.

Diese Meldung kommt wen ich es versuche es erneut herunter zu laden.

Warum sind die Logs so komisch gepostet?? :balla:
Bitte nur vollständig und nicht verfälscht posten! Nur bei einem seh ich die DB-Version!

Ok, entschuldigung.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7294
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.07.2011 13:28:23
mbam-log-2011-07-27 (13-28-14).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 232726
Laufzeit: 51 Minute(n), 30 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
i:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP397\A0201954.exe (Adware.WebEnhancements) -> No action taken.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Database version: 7173
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
17.07.2011 11:59:45
mbam-log-2011-07-17 (11-59-43).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 223243
Time elapsed: 47 minute(s), 53 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
i:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP302\A0160234.exe (Trojan.Dropper) -> No action taken. [cb3a28f48c744db32fd485e3ee1205fb]

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Database version: 7164
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.07.2011 23:16:01
mbam-log-2011-07-16 (23-15-59).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 237785
Time elapsed: 53 minute(s), 29 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 7
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 6
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\FunWebProductsInstaller.Start.1 (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_CLASSES_ROOT\FunWebProductsInstaller.Start (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> No action taken. [4cb00d0e35cb7090001d9095d62d2fd1]
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> No action taken. [84788b90a25e6a9608b252eb13f1d030]
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199325.DLL (PUP.FunWebProducts) -> No action taken. [6597f229fa06e51b95098b31ca3bfe02]
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199326.DLL (PUP.FunWebProducts) -> No action taken. [53a9e8331ae65da3057a4c93cd388080]
c:\system volume information\_restore{0102ad5b-dcc9-49c2-b7d1-11c730d52c94}\RP394\A0199327.DLL (PUP.FunWebProducts) -> No action taken. [66963cdfc23ee41c1f608b546a9b4cb4]
i:\200\mywebface.exe (Adware.FunWeb) -> No action taken. [b844b3687888f808f373bb5931cfe41c]
i:\200\refog_setup_free_kl_623.exe (Spyware.KGBSpy) -> No action taken. [02fa1ffccd3319e762344a9b699c18e8]
i:\200\snm-2.98.exe (Rogue.SpyNoMore) -> No action taken. [e4189c7f57a909f743e2dac8996bfe02]

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Database version: 7164
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.07.2011 21:35:24
mbam-log-2011-07-16 (21-35-22).txt
Scan type: Quick scan
Objects scanned: 42
Time elapsed: 16 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
i:\200\mywebface.exe (Adware.FunWeb) -> No action taken.
i:\200\refog_setup_free_kl_623.exe (Spyware.KGBSpy) -> No action taken.
i:\200\snm-2.98.exe (Rogue.SpyNoMore) -> No action taken.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Database version: 7140
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14.07.2011 23:06:35
mbam-log-2011-07-14 (23-06-28).txt
Scan type: Quick scan
Objects scanned: 24
Time elapsed: 10 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
i:\200\sardu_2.0.3\sardu.exe (Trojan.Agent) -> No action taken.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Database version: 7139
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14.07.2011 21:23:48
mbam-log-2011-07-14 (21-23-46).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 229225
Time elapsed: 50 minute(s), 56 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
i:\200\mywebface.exe (Adware.FunWeb) -> No action taken. [aa3937e4b34d10f07ee571a3f907da26]
i:\200\refog_setup_free_kl_623.exe (Spyware.KGBSpy) -> No action taken. [598a8497d12f5fa16c038161cf36e51b]
i:\200\sardu_2.0.3\sardu.exe (Trojan.Agent) -> No action taken. [0cd753c84db33ec2dd66634123ddd62a]

Und ein aktuelles Log von MBAM:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7295
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.07.2011 14:46:54
mbam-log-2011-07-27 (14-46-54).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 232862
Laufzeit: 50 Minute(n), 2 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe die sind jetzt alle komplett.

Lad OTL direkt auf den Desktop herunter, alle Programme schließen auch den Browser, und direkt vom Desktop die OTL.exe starten! NICHT vom Downloadfenster des Browsers!

Tut milr leid das geht nicht. Irgendetwas blockt die installation, wurde doch schon mal abgeschossen in der Vergangenheit, von Malware bei mir.

Hallo, wollte die alte OTL.exe löschen, kommt diese Fehlermeldung.

Habe das problem so gelöhst, versucht über diese OTLPENet.exe die alte Datei zu löschen ging auch nicht kahm ne Fehlermeldung, und dabei hat sich auch noch ne andere System Zeit bei mir eingeniestet. Dan habe ich diese Linux Cd genommen wo du mir ans Herz gelegt hattest, damit ging es problemlos. Entweder ist da noch Malware auf meinen System, das denke ich auch. Und oder diese Malware verstellt mir auch die Uhr auf meinen System. Oder die BIOS Baterie macht schlapp....

Ich hoffe ich kann bald dies Logs posten, die du verlangt hast.

Log ich nun nachreichen tuhe, in gepackter Form, Ich hoffe ich habe nun alles richtig gemacht.