Trojaner beim Systemscan gefunden: TR/Rogue.8553036
 

Hallo

ich habe heute mit Avira Free Antivirus mein System durchsuchen lassen
(wird jede woche automatisch einmal gemacht mit Systemscanner).
Dabei wurde mir diese Meldung angezeigt:

System Scanner: Malware gefunden:

Die Datei 'D:\System Volume Information\_restore{33A339A4-6F17-44DA-9265-EDCCA800F6B7}\RP400\A0056496.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rogue.8553036' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5253bbf8.qua' verschoben!

Ich bin nun total ratlos was ich dagegen machen kann und muss um schlimmeres zu vermeiden!

Ich bitte euch um Hilfe da ich echt keine Ahnung habe was ich tun soll. :heulen:

ich habe auch bei google.de geschaut ob etwas über diesen Trojaner drin steht, doch leider keine angaben dazu gefunden.

Vielen lieben dank
Liebe grüße Sabine

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

hallo und danke

das ist der einzige Fund den ich habe.

LG

hier die OTL und Extras dateien im anhang

Warum im Anhang? Was hab ich exra dick und fett mit den CODE-Tags gepostet?!

OTL Logfile:
--- --- ---

[/CODE]

OTL EXTRAS Logfile:
--- --- ---

[/CODE]

OTL EXTRAS Logfile:
--- --- ---


[/CODE]

entschuldige, ich muss mich erstmal in die ganze sache reinfuchsen, hab davon echt keine ahnung, sonst hab ich das immer von anderen machen lassen die sich mit viren usw auskennen, und in schritt 2 steht das man das als anhang senden soll

nun hab ich auch dieses hier was in schritt 3 beschrieben wurde

Welchen Sinn und Zweck soll das erfüllen?!
dyndns für eine lokale IP-Adresse macht ja irgendwie keinen Sinn!

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Kannst du auch was zu diesem Hosts-Eintrag sagen?

das wurde vor ca 2 jahren erstellt um eine verbindung zwischen 2 netzwerken herzustellen, die allerdings schon seit 1,5 jahren nicht mehr besteht, mehr kann ich dazu nicht sagen weil ich nicht mehr darüber weiß

Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

hier nun die aswMBR, ich leg nun mit dem zweiten schritt los

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

bevor ich anfange: wie wird windows manuell neu gestartet?
wie kann man hintergrundwächter schließen?
Wiederherstellungskonsole!? brauche ich die oder gibt mir dies das programm vor?

Vllt über den "Startbutton" wo man auch runterfährt? ;)

Entnimmst du bitte dem Handbuch deines Virenscanners ;)
Avira => Echtzeitschutz beenden/deaktivieren?

WAS bitte steht in der Combofix-Instruktion?! => installiere die Wiederherstellungskonsole (falls vorgeschlagen) :rolleyes:

hier nun combofix, während das programm lief kam diese meldung auf: anweisung in "0x10099e50" verweist auf speicher in "0x00e1aa60" anwendung "read" konnte auf dem speicher nicht durchgeführt werden. zur auswahl stand ok und abbrechen
habe nix davon gedrückt, programm lief auch so durch

Combofix Logfile:
--- --- ---

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

hallo,

hier nun die Log vom adwcleaner

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Log adwcleaner



OTL log

OTL Logfile:
--- --- ---

[/CODE]

extras log


OTL EXTRAS Logfile:
--- --- ---

[/CODE]

Hm, da ist immer noch Toolbar-Müll drin
Bitte mal den aktuellen adwCleaner runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

hier nun die adwcleaner log

OTL Logfile:
--- --- ---

[/CODE]

OTL EXTRAS Logfile:
--- --- ---

[/CODE]

Hm, da ist immer noch Toolbar-Müll drin
Bitte mal den aktuellen adwCleaner runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

hier die adw log

habe gerade mit avira antivir auf viren und malware durchsuchen lassen und das wurde alles gefunden,7 trojaner!?:

weißt du eventuell woher die jetzt kommen könnten!? :confused: :headbang:

habe noch einen stick von mir mit avira prüfen lassen und da fand ich das


und auf einem weiteren stick fand ich den gleichen trojaner, ebenfalls in quarantäne verschoben, die anderen beiden sticks sind "sauber"

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

ich habe da ein problem, wenn ich TFC starte und auf start klicke, tut sich nix, es wird nur angezeigt - Stopping running processes -, das programm selbst kann ich dann auch nicht schließen und den PC mußte ich jetzt 3 mal per knopfdruck ausschalten, was kann ich tun

Vergiss den TFC

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

erstmal danke ich dir ganz herzlich für deine hilfe :daumenhoc

mein problem ist nur noch das ich gestern die neuen trojaner gefunden habe, die in quarantäne verschoben wurden, siehe letzte log´s, und was mich erst recht beunruhigt ist, das 2 davon ziemlich schädlich sind, wie bekomme ich die denn alle weg.

woher kommen die denn überhaupt, kann man das noch irgendwie nachvollziehen!?

Was habt ihr alle immer nur mit der Quarantäne? :wtf:
Überleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

das mit der quarantäne ist mir klar was das ist, nur sind sie ja immer noch da!
also jetzt nix mehr unternehmen!?

Nein! Wenn du behauptest sie wären noch da weil sie in der Q sind hast du die Q gerade nicht begriffen!

ok, anders gesagt, die sind in der quarantäne und können nix mehr anrichten. wie verhält es sich aber wenn ich das programm lösche und ein neues antivirusprogramm installiere, kommen die dann wieder frei!?

der trojaner ist ja nun auch nicht mehr vorhanden:
TR/Rogue.8553036

also verstehe ich das nun so, trojaner zu bekommen ist schlimmer als sie in quarantäne zu halten!?

Meine Güte, lies doch erstmal nach was unter einer Q definiert ist :wtf: => Quarantäne

Du glaubst nicht wie viele Fragen sich erübigen, wenn man sich mal die Mühe macht Google zu befragen. Nur nach reinen Begrifflichkeiten, was zB in diesem Fall Quarantäne bedeutet :pfeiff:

bin ja nicht umsonst hier weil ich ja wie gesagt keinen plan davon habe.

habe dieses zitat gefunden, stimmt das oder bekomm ich wieder keine genaue antwort :confused:


Zitat
Falls die Funde in der Quarantäne liegen, diese noch nicht löschen! Alles was in der Quarantäne liegt ist gecrypted, umbenannt und somit unschädlich gemacht. Die betroffene infizierte Datei ist jetzt nicht mehr lauffähig. Der Schädling kann also nichts mehr anrichten. Wenn man einen Fund aus der Quarantäne löscht, wird die jetzt nicht mehr lauffähige Datei aus dem Quarantäneverzeichnis-/ordner gelöscht. Der Schädling wird also nicht mehr auf das System losgelassen. Das wäre ja auch fatal.

Soso, du hast also keine Leseschwäche, nein, ich poste ja nur ungenaue Antworten. :pfui:
Vielen herzlichen Dank für diesen Hinweis :balla:

was soll denn das, ich möchte doch nur antworten, und bei google bekommt man nun mal keine 100%-igen antworten, auf meinen letzten post hab ich ja nun auch wieder keine antwort bekommen, es sind nun mal nicht alle pc-spezialisten, sonst würden wir uns nicht an euch wenden!

Was bitte war hierdran nicht genau?! :balla:
Welche Frage von dir wird durch diesen Beitrag NICHT beantwortet?
Warum willst du Dateien aus der Quarantäne immer noch löschen obwohl du angeblich weißt was eine Q ist?

Das lässt nur diesen Schluss zu: du hast den Text nicht gelesen oder nicht verstanden! :kloppen: