Trojan.fakealert.3ch Nach Trojanerangriff funktioniert mein Rechner fast gar nicht mehr! Hilfe
 

Seit gestern abend funtioniert mein Rechner fast gar nicht mehr!
Plötzlich gingen zig Pop Up Fenster auf und um so länger mein Rechner an war, umso weniger Dateien waren auf dem Dektop. Bist irgendwann fast gar nichts mehr da war. Ich habe dann mit Malwarebytes einen kleinen Check und einen Fullscan gemacht und dabei das alles gefunden. Ich konnte zumindest mit unhide alles wieder herstellen was auf dem Desktop war. Leider sind meine beiden Partionen D und E vollkommen lehr. Ich hofe die Daten da sind nicht ganz weck. Kann mir Vielleicht jemand helfen?

Hier mal was ich gefunden habe:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.13
Kranzel :: MEISEL-CC4E3DD6 [Administrator]

Schutz: Aktiviert

18.07.2012 12:17:58
mbam-log-2012-07-18 (12-17-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203296
Laufzeit: 7 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SuvYWcBMABLm.exe (Trojan.FakeAlert.3CH) -> 2800 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SuvYWcBMABLm.exe (Trojan.FakeAlert.3CH) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SuvYWcBMABLm.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|uRJioiBBF3C1XG (FakeAlert) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uRJioiBBF3C1XG.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINXP\system32\userinit.exe,C:\WINXP\system32\appconf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINXP\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SuvYWcBMABLm.exe (Trojan.FakeAlert.3CH) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uRJioiBBF3C1XG.exe (FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Kranzel\Lokale Einstellungen\Temp\0.2641137179591121h7i.exe (Trojan.FakeAlert.3CH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Kranzel\Lokale Einstellungen\Temp\0.372842979935497.exe (Trojan.FakeAlert.3CH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINXP\system32\srvblck2.tmp (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINXP\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.13
Kranzel :: MEISEL-CC4E3DD6 [Administrator]

Schutz: Aktiviert

18.07.2012 12:48:55
mbam-log-2012-07-18 (12-48-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 292067
Laufzeit: 1 Stunde(n), 19 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{879FC5FD-4D94-47E3-9223-2D5808BF1587}\RP738\A0137913.exe (FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

In der Quarantäne habe ich jetzt 24 Objekte und wollte das hier mal rein kopieren aber das geht irgendwie nicht!!

Bitte um Mithilfe!!

Danke Christoph

Ich lasse gerade noch nen Scan mit ESET laufen und da wurde auch schon einiges gefunden!!
Den Log stelle ich gleich rein wenn der Scan fertig ist!
Brauche wirklich dringend eure Hilfe.

Danke

hi
1. log einstellen.
2. nutzt du den pc für onlinebanking einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
3. nutze noch mal unhide, hast du es evtl. nciht bis zum ende laufen lassen? normalerweise sollte es alles wieder sichtbar machen.

Danke für deine Antwort!!

Ich komme mit dem Log von ESET nicht klar, bin eben nen Laie!
In den letzten Monaten habe ich eher weniger Banking mit meinem rechner gemacht. Brauche ihn aber für die ARbeit!

Unhide habe ich jetzt nochmal durchlaufen lassen und es sind wirklich wieder alle Dateien da!

Momentan läuft der Rechner ganz normal, aber wie kann ich sicher gehen das nichts weiter drauf ist!

Letztendlich habe ich ja nur Malwarebytes drüber gejagt und unhide durchgeführt!
Traue dem nicht so ganz richtig!!!
Wie soll ich weiter vorgehen?

MFG Christoph

da du banking damit machst, rufe die bank an, lasse es sperren
wegen trojan.banker
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Danke Markus

ich bin ab heute erstmal 10 tage im urlaub und dann werde ich alle Schritte abarbeiten wenn ich wieder da bin!!
Halte dich auf dem laufenden und wenn ich nicht weiter weiss frage ich!!

Trotzdem danke erstmal.

MFG Christoph

ok kein prob