Bei XP System wurde IEexplorer Virus entdeckt, der mit AVG 2013 Vollversion nicht behebbar war, zudem wurden einige Trojaner gefunden
 

Hallo Community,

bin ganz neu hier und sage erstmal Hallo an die Helferlein.

Ich habe von einem Bekannten seine Firmenfestplatte bekommen, nachdem er mir gesagt hat, dass AVG 2013 (vollversion) einen Virus gefunden hat der nicht behebbar ist.

Er wusste nicht mehr genau wie er heisst, denn er hat die Quarantäne gelöscht und inzwischen sagt AVG dass das System sauber sei, genau wie Malwarebytes nichts mehr beim Full Scan findet?
Zudem hat er den Windows/Temp und den Temp Ordner aus den eigenen Dateien manuell gelöscht und danach den Papierkorb.

Er meinte es war: Internetexpoler.exe und dann danach Memory und eine Zahl.

Seitdem ist das ganze System dermaßen langsam und wenn man den IE startet (IE 8, da noch XP), werden keine Bilder mehr geladen?

Ich habe daraufhin die HDD in ein externes HDD Lesegerät bei mir gesteckt und ebenfalls AVG 2013 und Malwarebytes drüberlaufen lassen. In beiden Fällen wurde auch nichts gefunden.

Danach habe ich mir noch Trojan Remover heruntergeladen und der fand nur in meinen Augen False Positives in seinem Datev Ordner und Dinge die garantiert keine Schädlinge sind. Teamviewer z.b. etc...

Danach habe ich noc mit TrojanHunter gescannt und der hat folgendes gefunden:

Der erste Abschnitt sind garantiert auch false Positives:

Found trojan file: E:\DATEV\PROGRAMM\B0000347\ScMgmt\dazo.exe (StartPage.360)
Found trojan file: E:\DATEV\PROGRAMM\BSOffice\getsoversion.exe (TrojanDownloader.Agent.3761(132))
Found trojan file: E:\DATEV\PROGRAMM\K0005000\ebwizard.exe (Trojan3.100(235))
Found trojan file: E:\Dokumente und Einstellungen\Buchhaltung\Desktop\TeamViewerQS_de.exe (Agent.24176(202))
Found trojan file: E:\Programme\Analog Devices\SoundMAX\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\Programme\Lenovo\System Update\session\q4aud27us13\FuncDrv\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\Programme\Lenovo\System Update\session\q4aud33us13\FuncDrv\DevSetup.exe (Agent.28478(211))
Found trojan file: E:\swtools\drivers\audio\SoundMAX\Funcdrv\DevSetup.exe (Agent.28478(211))


Nur was ist das? Sind das Trojaner und gehören die gelöscht?

Found trojan file: E:\WINDOWS\ServicePackFiles\i386\ulib.dll (AgentZ.815(240))
Found trojan file: E:\WINDOWS\ServicePackFiles\i386\winlogon.exe (Bamital.206)
Found trojan file: E:\WINDOWS\system32\aksllmtp.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\hasplms.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\Setup\aladdin\hasphl\hasplms.exe (Rootkit.TDL3)
Found trojan file: E:\WINDOWS\system32\ulib.dll (AgentZ.815(240))
Found trojan file: E:\WINDOWS\system32\winlogon.exe (Bamital.206)


Jetzt wollte ich noch mit OTL die Platte scannen, doch anscheinend kann man damit nur die Systemplatte scannen?

Was kann ich noch tun und soll ich die genannten Trojaner löschen (zumindest die aus dem 2. Abschnitt)?

Danke vielmals für eure Hilfe

edit:
Habe noch Gmer gestartet und die HDD gescannt.
Es wurde damit allerdings auch nichts gefunden.

Was kann ich weiterhin noch tun, um die HDD wieder sicher zu bekommen?

Würde es was bringen den IE einfach nochmal neu zu installieren?

Ich hoffe, es kann mir geholfen werden...

Kommt hier noch eine Hilfestellung?

Komme sonst nicht weiter

Hi minotaur,

wenn das die Festplatte einer Firma ist, ist deren DV-Abteilung dafür zuständig.
Wir bereinigen hier nur Privatrechner - es sei denn, die Firma ist winzig klein und hat keine eigene Abteilung für sowas.

Hallo,

genau so ist es. Ich mache bei denen hobbymässig die IT.
Sonst ist da keiner für zuständig.

Braucht ihr noch andere logs?

Habe vorhin nochmal AVG 2013 und Malwarebytes (Vollständiger Suchlauf) ausgeführt und es wurde nichts mehr gefunden:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.09.04

09.11.2012 12:36:36
mbam-log-2012-11-09 (12-36-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359092
Laufzeit: 1 Stunde(n), 17 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Habe auch die HDD auf Fehler gescannt, alles OK. Defragmentiert ist sie auch.

Danke für die Hilfe

Kann mir niemand weiterhelfen???

Kommt hier noch was?

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Wenn du mal einen Blick in meine Signatur wirfst, weißt du, warum ich nicht mehr geantwortet habe.
Ich mache das hier nämlich ebenfalls hobbymäßig und schaue am WE nur rein, wenn ich Zeit finde.

Auf der Platte befinden sich unter anderem rootkits. Es könnte sein, dass diese gekillt wurden, weil das eigentlich infizierte System nicht gebootet wurde.

Mach dennoch einmal folgendes, um sicher zu sein:


Schritt 1: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.




Schritt 2: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Marius,

vielen Dank, dass Du dich meinem Problem annimmst.
Kurz zur Info. Ich habe die HDD wieder in den Rechner eingebaut und die scans von dort aus gemacht.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Habe Combofix ausgeführt.
Hier die Ergebnisse:

Scan mit adwcleaner



Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo,
bin leider erst heute wieder dazu gekommen die Datei auszuführen.

Hier das Ergebnis:

Schritt 1: Fix mit adwCleaner


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2: MBAM



Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3: OTL




Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Komme wohl erst am Montag dazu, dies zu testen.

Sobald ich es gemacht habe, poste ich wieder die log files.

Danke soweit mal.

Hallo,

habe den adwCleaner per Fernwartung (teamviewer) gestartet, doch nach dem Neustart hat sich das Programm anscheinend aufgehängt bei ca. 10% und über den Taskmanager kam "keine Rückmeldung".

Liegt das vielleicht daran, dass es per Fernwartung gestartet wurde? Eine andere Möglichkeit habe ich derzeit nicht.

Kann ich dennoch MBAM und OTL ausführen und den adwCleaner am Schluß nochmal, sonst muss er ja wieder neu starten und ich muss mich erneut einwählen.

Danke

Es hat schon seine Bewandtnis, dass die tools in dieser Reihenfolge laufen sollen! ;)

Also soll ich es nochmal versuchen?
An XP oder teamviewer kann es nicht liegen, oder?

Ansonsten kann ich es auch von dort aus ohne meine teamviewer Einwahl starten lassen. Man muss ja nur auf löschen klicken mehr nicht...

edit:
Habe das jetzt von dort aus nochmal anstoßen lassen, ohne dass ich per teamviewer eingeloggt bin und schaue mal wie es sich nun diesmal verhält.
Könnte es theoretisch auch sein, dass obwohl im Taskmanager "keine Rückmeldung" stand, das Programm doch im Hintergrund weiterarbeitete und man einfach mehr Geduld mitbringen muss? Allerdings hat es angefange bis auf ca. 10%, dann ging 15min. nichts mehr voran und ich habe abgebrochen.

Ich werde berichten, wie es sich jetzt verhält...

adwCleaner dauert im Normalfall nur Sekunden. Berichte, wie es sich verhält!

Hi,

verhält sich genau wie vorhin. Nach 7 grünen Balken hängt sich's auf und wieder keine Rückmeldung im Taskmanager.

Was denn für grüne Balken? :balla:
Wir reden schon von diesem Tool?

Ja natürlich.
Die Fortschrittsanzeige meinte ich...
unter löschen...

dort hängt er und ich muss das Programm über Task beenden schließen, denn nach wie vor keine Rückmeldung.

und du hast das Tool als administrator gestartet?

Auch bei Windows XP?


Hier dennoch mal die logs von MBAM und OTL:

Ja, wenn man sich unter XP mit Userrechten anmeldet, haben manche Tools Probleme. Ist aber hier nicht der Fall!

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

hier die log von MBAM.
Es wurde ein Objekt gefunden, dies war allerdings die url des ESET Scanner.

Diesen konnnte ich widerrum nicht ausführen, nach der Installation kommt nach 4%:
Can not get update. Is proxy configured?

Antivirus und Firewall war aus, zudem hab ich die DFÜ Dienste von Datev noch gestoppt. KA warum er es nicht macht.

Proxy ist keiner installiert? Vielleicht liegt es auch an der temaviewer Einwahl.

Er bekommt keine Verbindung zum Internet. Warum weiß ich nicht. Versuche einmal das hier:

F-Secure Onlinescanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.

• Deaktiviere dein Antivirenprogramm für die Dauer dieses Scans.
• Rufe den F-Secure Onlinescanner durch Klick auf diesen Link auf.
  
  Hinweis: Die Seite prüft, welchen Browser du installiert hast und ob deine Java-Version aktuell ist. Gegebenenfalls wirst du aufgefordert, dein Java zu aktualisieren. Führe dies durch.
  
  
• Wähle als Sprache "Deutsch" und akzeptiere die Lizenzvereinbarungen, indem du das Häkchen in der dafür vorgesehenen Box darunter setzt.
• Klicke auf "Prüfung durchführen".
  
  Hinweis: Eventuell wird dir nun eine Java-Sicherheitsabfrage (Sicherheitsinformationen) angezeigt. Bestätige diese unbedingt mit "ausführen".
  
  
• Es wird sich ein neues Fenster öffnen.
• Wähle Mein Scan und klicke auf Optionen anzeigen.
• In dem sich öffnenden Fenster, wähle unter Dateitypen für Scan auswählen die Option Alle Dateitypen und hake darunter In komprimierten Dateien suchen an.
• Klicke unten auf OK.
• Du befindest dich nun wieder im Hauptmenü des Onlinescanners. Klicke auf Start. F-Secure Online Scanner wird nun einige Dateien herunterladen und dein System scannen.
• Wenn der Scan abgeschlossen ist, klicke auf Bericht anzeigen.
• Poste den Bericht hier in deinem Thread.

Hi,
morgen bin ich nochmals vorort und werde den scan machen und das log file posten.

Den adwCleaner und ESET soll ich dann vernachlässigen, wenn bei beiden wieder die Fehler auftauchen, oder?

Warum adwCleaner bei dir nicht funktioniert, kann ich nicht sagen. ESET bekommt keine Verbindung zum Internet, was definitiv an veränderten System einstellungen liegt. an welchen, kann ich von hier aus nicht sagen.

Mach also nur den Scan aus meiner letzten Antwort!

Hi,
bin bis morgen noch krankgeschrieben und komme somit erst übermorgen dazu, den scan nochmals dort auszuführen.
Das Thema ist also noch aktuell und Du bekommst asap die log files...

Cya

Hi,
hier die log von F-Secure.
Hatte zuerst den vollständigen scan gemacht der ziemlich lange gedauert hat und irgendwie hab ich das log nicht gespeichert gehabt, es wurde aber auch da nichts gefunden.
Habe nachträglich den Quickscan nochmal gemacht und davon die log gepostet.
Ich denke der Rechner müsste jetzt wirklich sauber sein. Er fuktioniert jedenfalls wieder super und alles geht reibungslos.

klicke auf Start-->Ausführen.
Kopiere den Inhalt folgender codebox in das "Ausführen..."-Fenster:

Drücke OK.

Poste den Inhalt der sich öffnenden Textdatei hier.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen