Bei XP System wurde IEexplorer Virus entdeckt, der mit AVG 2013 Vollversion nicht behebbar war, zudem wurden einige Trojaner gefunden
 

Hallo Community,

bin ganz neu hier und sage erstmal Hallo an die Helferlein.

Ich habe von einem Bekannten seine Firmenfestplatte bekommen, nachdem er mir gesagt hat, dass AVG 2013 (vollversion) einen Virus gefunden hat der nicht behebbar ist.

Er wusste nicht mehr genau wie er heisst, denn er hat die Quarantäne gelöscht und inzwischen sagt AVG dass das System sauber sei, genau wie Malwarebytes nichts mehr beim Full Scan findet?
Zudem hat er den Windows/Temp und den Temp Ordner aus den eigenen Dateien manuell gelöscht und danach den Papierkorb.

Er meinte es war: Internetexpoler.exe und dann danach Memory und eine Zahl.

Seitdem ist das ganze System dermaßen langsam und wenn man den IE startet (IE 8, da noch XP), werden keine Bilder mehr geladen?

Ich habe daraufhin die HDD in ein externes HDD Lesegerät bei mir gesteckt und ebenfalls AVG 2013 und Malwarebytes drüberlaufen lassen. In beiden Fällen wurde auch nichts gefunden.

Danach habe ich mir noch Trojan Remover heruntergeladen und der fand nur in meinen Augen False Positives in seinem Datev Ordner und Dinge die garantiert keine Schädlinge sind. Teamviewer z.b. etc...

Danach habe ich noc mit TrojanHunter gescannt und der hat folgendes gefunden:

Der erste Abschnitt sind garantiert auch false Positives:

Found trojan file: E:\DATEV\PROGRAMM\B0000347\ScMgmt\dazo.exe (StartPage.360)
Found trojan file: E:\DATEV\PROGRAMM\BSOffice\getsoversion.exe (TrojanDownloader.Agent.3761(132))
Found trojan file: E:\DATEV\PROGRAMM\K0005000\ebwizard.exe (Trojan3.100(235))
Found trojan file: E:\Dokumente und Einstellungen\Buchhaltung\Desktop\TeamViewerQS_de.exe (Agent.24176(202))
Found trojan file: E:\Programme\Analog Devices\SoundMAX\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\Programme\Lenovo\System Update\session\q4aud27us13\FuncDrv\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\Programme\Lenovo\System Update\session\q4aud33us13\FuncDrv\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\swtools\drivers\audio\SoundMAX\Funcdrv\DevSetup.exe (Agent.28478(211))


Nur was ist das? Sind das Trojaner und gehören die gelöscht?

Found trojan file: E:\WINDOWS\ServicePackFiles\i386\ulib.dll (AgentZ.815(240))
Found trojan file: E:\WINDOWS\ServicePackFiles\i386\winlogon.exe (Bamital.206)
Found trojan file: E:\WINDOWS\system32\aksllmtp.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\hasplms.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\Setup\aladdin\hasphl\hasplms.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\ulib.dll (AgentZ.815(240))
Found trojan file: E:\WINDOWS\system32\winlogon.exe (Bamital.206)


Jetzt wollte ich noch mit OTL die Platte scannen, doch anscheinend kann man damit nur die Systemplatte scannen?

Was kann ich noch tun und soll ich die genannten Trojaner löschen (zumindest die aus dem 2. Abschnitt)?

Danke vielmals für eure Hilfe

edit:
Habe noch Gmer gestartet und die HDD gescannt.
Es wurde damit allerdings auch nichts gefunden.

Was kann ich weiterhin noch tun, um die HDD wieder sicher zu bekommen?

Würde es was bringen den IE einfach nochmal neu zu installieren?

Ich hoffe, es kann mir geholfen werden...

Kommt hier noch eine Hilfestellung?

Komme sonst nicht weiter

Hi minotaur,

wenn das die Festplatte einer Firma ist, ist deren DV-Abteilung dafür zuständig.
Wir bereinigen hier nur Privatrechner - es sei denn, die Firma ist winzig klein und hat keine eigene Abteilung für sowas.

Hallo,

genau so ist es. Ich mache bei denen hobbymässig die IT.
Sonst ist da keiner für zuständig.

Braucht ihr noch andere logs?

Habe vorhin nochmal AVG 2013 und Malwarebytes (Vollständiger Suchlauf) ausgeführt und es wurde nichts mehr gefunden:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.09.04

09.11.2012 12:36:36
mbam-log-2012-11-09 (12-36-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359092
Laufzeit: 1 Stunde(n), 17 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Habe auch die HDD auf Fehler gescannt, alles OK. Defragmentiert ist sie auch.

Danke für die Hilfe

Kann mir niemand weiterhelfen???

Kommt hier noch was?

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Wenn du mal einen Blick in meine Signatur wirfst, weißt du, warum ich nicht mehr geantwortet habe.
Ich mache das hier nämlich ebenfalls hobbymäßig und schaue am WE nur rein, wenn ich Zeit finde.

Auf der Platte befinden sich unter anderem rootkits. Es könnte sein, dass diese gekillt wurden, weil das eigentlich infizierte System nicht gebootet wurde.

Mach dennoch einmal folgendes, um sicher zu sein:


Schritt 1: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.




Schritt 2: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Marius,

vielen Dank, dass Du dich meinem Problem annimmst.
Kurz zur Info. Ich habe die HDD wieder in den Rechner eingebaut und die scans von dort aus gemacht.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Habe Combofix ausgeführt.
Hier die Ergebnisse:

Scan mit adwcleaner



Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo,
bin leider erst heute wieder dazu gekommen die Datei auszuführen.

Hier das Ergebnis:

Schritt 1: Fix mit adwCleaner


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2: MBAM



Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3: OTL




Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Komme wohl erst am Montag dazu, dies zu testen.

Sobald ich es gemacht habe, poste ich wieder die log files.

Danke soweit mal.

Hallo,

habe den adwCleaner per Fernwartung (teamviewer) gestartet, doch nach dem Neustart hat sich das Programm anscheinend aufgehängt bei ca. 10% und über den Taskmanager kam "keine Rückmeldung".

Liegt das vielleicht daran, dass es per Fernwartung gestartet wurde? Eine andere Möglichkeit habe ich derzeit nicht.

Kann ich dennoch MBAM und OTL ausführen und den adwCleaner am Schluß nochmal, sonst muss er ja wieder neu starten und ich muss mich erneut einwählen.

Danke

Es hat schon seine Bewandtnis, dass die tools in dieser Reihenfolge laufen sollen! ;)

Also soll ich es nochmal versuchen?
An XP oder teamviewer kann es nicht liegen, oder?

Ansonsten kann ich es auch von dort aus ohne meine teamviewer Einwahl starten lassen. Man muss ja nur auf löschen klicken mehr nicht...

edit:
Habe das jetzt von dort aus nochmal anstoßen lassen, ohne dass ich per teamviewer eingeloggt bin und schaue mal wie es sich nun diesmal verhält.
Könnte es theoretisch auch sein, dass obwohl im Taskmanager "keine Rückmeldung" stand, das Programm doch im Hintergrund weiterarbeitete und man einfach mehr Geduld mitbringen muss? Allerdings hat es angefange bis auf ca. 10%, dann ging 15min. nichts mehr voran und ich habe abgebrochen.

Ich werde berichten, wie es sich jetzt verhält...