Trojaner-Board - Vorgehensweise nach Entfernung von BKA Trojaner Clone + weitere Fragen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vorgehensweise nach Entfernung von BKA Trojaner Clone + weitere Fragen (https://www.trojaner-board.de/114107-vorgehensweise-entfernung-bka-trojaner-clone-fragen.html)

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallöchen,

musste die 2. Methode, also [None] auswählen, beim 1. Mal ist das Programm zwar nicht abgestürzt, hatte sich aber rund 1 Stunde am Minecraft Ordner an einer einzigen Datei aufgehangen.

Der 2. ging dann aber sehr fix, soll das so sein? Hier jedenfalls das Log:

Code:

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-01 23:22:05

-----------------------------

23:22:05.984    OS Version: Windows x64 6.1.7601 Service Pack 1

23:22:05.984    Number of processors: 4 586 0x2502

23:22:05.984    ComputerName: CHRIS-PC  UserName: Chris

23:22:08.355    Initialze error C000010E - driver not loaded

23:22:08.386    write error "aswCmnB.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

23:22:14.158    AVAST engine defs: 12050101

23:22:26.607    Service scanning

23:22:45.795    Modules scanning

23:22:45.795    Disk 0 trace - called modules:

23:22:45.795    

23:22:45.795    Scan finished successfully

23:23:22.736    The log file has been saved successfully to "C:\Users\Chris\Desktop\Infektion Report\aswMBR.txt"

Nee, das ging nicht glatt, das Log ist so unbrachbar.
Bitte wiederhol das ganze

Hallo,

hier das angeforderte Log:

Code:

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-02 16:32:33

-----------------------------

16:32:33.648    OS Version: Windows x64 6.1.7601 Service Pack 1

16:32:33.648    Number of processors: 4 586 0x2502

16:32:33.648    ComputerName: CHRIS-PC  UserName: Chris

16:32:35.520    Initialize success

16:32:41.417    AVAST engine defs: 12050101

16:32:51.666    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

16:32:51.666    Disk 0 Vendor: WDC_WD10 80.0 Size: 953869MB BusType: 3

16:32:51.682    Disk 0 MBR read successfully

16:32:51.682    Disk 0 MBR scan

16:32:51.698    Disk 0 Windows 7 default MBR code

16:32:51.698    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        24576 MB offset 2048

16:32:51.713    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 50333696

16:32:51.729    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       464334 MB offset 50538496

16:32:51.760    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       464857 MB offset 1001494528

16:32:51.776    Disk 0 scanning C:\Windows\system32\drivers

16:33:00.262    Service scanning

16:33:25.051    Modules scanning

16:33:25.051    Disk 0 trace - called modules:

16:33:25.066    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

16:33:25.082    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004d4b060]

16:33:25.082    3 CLASSPNP.SYS[fffff8800113d43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004a0a050]

16:33:27.203    AVAST engine scan C:\Windows

16:33:30.495    AVAST engine scan C:\Windows\system32

16:36:13.593    AVAST engine scan C:\Windows\system32\drivers

16:36:41.314    AVAST engine scan C:\Users\Chris

19:48:26.731    AVAST engine scan C:\ProgramData

19:51:02.575    Scan finished successfully

19:55:04.360    Disk 0 MBR has been saved successfully to "C:\Users\Chris\Desktop\Infektion Report\MBR.dat"

19:55:04.360    The log file has been saved successfully to "C:\Users\Chris\Desktop\Infektion Report\aswMBR2.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallöchen,

habe nur einen Vollscan mit Malware Bytes ausgeführt, da das andere empfohlene Programm sich zu dem auf der Hilfeseite sehr unterschieden hat und ich damit nicht so wirklich zurecht kam da hier auch eine Beschreibung für die deutsche Version fehlte (z.B. hat "Computer durchsuchen" ) sofort einen Scan gestartet ohne dass ich irgendwas einstellen konnte, auch wurde ich bei der Installation nicht mit einer Ask Toolbar Frage konfrontiert.

Malware Bytes hat im Vollscan allerdings nichts gefunden, hier trotzdem mal das Logfile, quasi als kleinen Abschluss dann ^^

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.04.26.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Chris :: CHRIS-PC [Administrator]
 

02.05.2012 20:33:40

mbam-log-2012-05-02 (20-33-40).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 885437

Laufzeit: 3 Stunde(n), 23 Minute(n), 30 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Abschließend noch eine letzte Frage, ich habe vor zusätzlich zu Malwarebytes den Spyware Terminator zu installieren, hab gesehen dass er 1.997 Downloads auf Chip mit 90 % positiven Bewertungen hat da er auch kostenlosen Echtzeitschutz gegen Spyware bietet.

Wenn Erfahrung damit besteht hätte ich dazu noch die Frage ob da Konflikte mit Avira bekannt sind und ob es hier evtl. bekannt ist oder jemand mir sagen kann ob es gut ist?

Vielen Dank dafür schon mal im Voraus.

Aber erst Recht sehr sehr sehr vielen Dank für den ganzen Zeitaufwand der hier in die Hilfe gesteckt wurde =)

Werde versuchen ab jetzt noch ein bisschen vorsichtiger zu sein und hoffe die Hilfe diese Seite so schnell nicht wieder zu brauchen (nicht böse gemeint natürlich ^^ )

Edit: Mist natürlich vorher das Update vergessen.... :/ Sorry

Entsprechendes Log folgt dann morgen.

So,

hier noch mal das geupdatete Log, zum Glück auch ohne Befund :)

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.03.01
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Chris :: CHRIS-PC [Administrator]
 

03.05.2012 06:26:53

mbam-log-2012-05-03 (06-26-53).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 886599

Laufzeit: 3 Stunde(n), 12 Minute(n), 20 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Die Bewertungen bei chip sind mit Vorsicht zu genießen
Bei Bereinigung kommt meistens Malwarebytes zum Einsatz, mit Spyware Terminator hab ich keine Erfahrungen. Da werden wohl auch unterschiedliche Meinungen vertreten sein

Bitte probier nochmal SASW aus - und diese Ask-Toolbar einfach nicht mit installieren!