Trojaner-Board - Windows 8: Trojaner gefunden Trojan-FDXU!4F37BB0A5E3B

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows 8: Trojaner gefunden Trojan-FDXU!4F37BB0A5E3B (https://www.trojaner-board.de/153676-windows-8-trojaner-gefunden-trojan-fdxu-4f37bb0a5e3b.html)

Hallo,
nach meiner Erkenntnis, ist Dein PC soweit sauber. :abklatsch:

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Mache bitte Updates von:

Adobe Reader
Internet Explorer

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Machiavelli,

erst mal vielen Dank für deine Hilfe!
:applaus::dankeschoen::applaus::applaus::dankeschoen::applaus::applaus::dankeschoen::applaus:

Allerdings findet der Rechner weder über Avast, noch direkt in den Programmen Updates.
Der AdobeReader sagt mir schlicht "Keine Updates verfügbar"

Ich lasse jetzt Avast nochmal den Rechner scannen, und besorge mir die genannten Updates.

Nochmals vielen Dank! Du/Ihr seid echt der Hammer!

Zitat:

Der AdobeReader sagt mir schlicht "Keine Updates verfügbar"

Komisch. Kannst Du checken , welche Version Du genau hast? Laut SecurityCheck müsstest Du 10.1.9 haben. Aktuell ist Version 11.

Du bist herzlichst willkommen. :)

Im Adobe Reader zeigt er mir die Version 10.1.9, wie du geschrieben hast.

:confused:

Ich schau da morgen nochmal nach, muss jetzt echt ins Bett... :-)

Hey,

Zitat:

Im Adobe Reader zeigt er mir die Version 10.1.9, wie du geschrieben hast.

Starte Adobe Reader
Klicke auf den Tab Hilfe und klicke danach auf Nach Updates suchen
Ein neues Fenster öffnet sich, welches nach neuen Updates sucht
Klicke dann auf Herunterladen
Das Fenster verschwindet und das Programm updatet sich im Hintergrund
Wenn im unteren rechten Eck eine Meldung erscheint, dass es fertig ist, klicke unten rechts auf das jeweilige Symbol und klicke auf Installieren
Danach klicke auf Jetzt PC neustarten

Hallo Machiavelli,

was mich eben etwas stutzig macht ist, dass eben mit diesem Vorgehen keine Updates angezeigt werden.

OK, dann machen wir es halt etwas komplizierter. Bei mir klappte das problemlos.

Deinstalliere Adobe Reader und downloade es neu von hier: Adobe - Adobe Reader herunterladen - Alle Versionen - beim optionalen Angebot unbedingt den Haken entfernen - und installiere es.

Gibt es sonst noch Probleme?

Habe den AcrobatReader jetzt manuell aktualisiert. So wie du es gemeint hast.

Der zweite Punkt, der mich stutzig macht ist, dass der IE nicht automatisch aktualisiert wird. Hier habe ich auch nur eine 10er Version.
Ein Windows Update habe ich gestern auch manuell angestoßen. Da müsste der IE doch eigentlich auch aktualisiert werden, oder?

Ja, Windowsupdates machen und dann sollte auch IE aktualisiert werden. :) Mache am besten alle Windows Updates ;)

Die Windowsupdates stehen eigentlich auf automatisch.
Ich installiere immer alle Updates von MS.

Irgendwie wirklich seltsam...

Ich habe das Win-Update jetzt nochmals manuell gestartet. Er zeigt mir nur ein optionales Update für den Canon-Drucker an. Das habe ich heute morgen aber schon gezogen, und installiert.
Das Update für den IE ist aber nicht erfolgt, immer noch Version 10.0.9200

OK, habe mich vertan. IE 11 gibts nur für Win 8.1. , nicht für Win 8. Daher, ist jetzt alles in Ordnung mit dem PC?

MBAM hat bei dem gerade durchgeführten Scan nichts mehr gefunden.

der gmer-Log ist jetzt länger als vorher, und die Meldung mit dem MBR ist unverändert.

Code:

GMER 2.1.19357 - hxxp://www.gmer.net

Rootkit scan 2014-05-11 12:03:46

Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002a  rev. 0,00MB

Running: Gmer-19357.exe; Driver: C:\Users\mip-admin\AppData\Local\Temp\kwliapow.sys
 
 

---- User code sections - GMER 2.1 ----
 

.text   C:\windows\system32\csrss.exe[604] C:\windows\SYSTEM32\kernel32.dll!GetBinaryTypeW + 163                                     000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\wininit.exe[696] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                   000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\csrss.exe[712] C:\windows\SYSTEM32\kernel32.dll!GetBinaryTypeW + 163                                     000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\winlogon.exe[756] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\services.exe[796] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\lsass.exe[804] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                     000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[916] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                   000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[996] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                   000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\atiesrxx.exe[324] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\atiesrxx.exe[324] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                           000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\atiesrxx.exe[324] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                           000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\dwm.exe[432] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                       000007fd27e4f817 1 byte [62]

.text   C:\windows\System32\svchost.exe[448] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                   000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[452] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                   000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[1052] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\System32\svchost.exe[1156] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[1296] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\System32\spoolsv.exe[1572] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\System32\spoolsv.exe[1572] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                           000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\windows\System32\spoolsv.exe[1572] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                           000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\svchost.exe[1616] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\Program Files (x86)\Bluetooth Suite\adminservice.exe[1664] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163          000007fd27e4f817 1 byte [62]

.text   C:\Program Files\Intel\iCLS Client\HeciServer.exe[1464] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[2112] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\wbem\wmiprvse.exe[2500] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                            000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[2788] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\atieclxx.exe[2956] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                 000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\atieclxx.exe[2956] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                          000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\atieclxx.exe[2956] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                          000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\atieclxx.exe[2956] C:\windows\system32\WSOCK32.dll!recvfrom + 742                                        000007fd1eea1b32 4 bytes [EA, 1E, FD, 07]

.text   C:\windows\system32\atieclxx.exe[2956] C:\windows\system32\WSOCK32.dll!recvfrom + 750                                        000007fd1eea1b3a 4 bytes [EA, 1E, FD, 07]

.text   C:\windows\system32\taskhostex.exe[2748] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                               000007fd27e4f817 1 byte [62]

.text   C:\windows\Explorer.EXE[2156] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                          000007fd27e4f817 1 byte [62]

.text   C:\Program Files (x86)\TeamViewer\Version9\tv_x64.exe[3356] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163            000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\wbem\wmiprvse.exe[3412] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                            000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\SearchIndexer.exe[3688] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                            000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\igfxext.exe[3708] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[1032] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                  000007fd27e4f817 1 byte [62]

.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[1032] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                     000007fd1f111532 4 bytes [11, 1F, FD, 07]

.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[1032] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                     000007fd1f11153a 4 bytes [11, 1F, FD, 07]

.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[1032] C:\windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                   000007fd1f11165a 4 bytes [11, 1F, FD, 07]

.text   C:\Windows\System32\hkcmd.exe[4072] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                    000007fd27e4f817 1 byte [62]

.text   C:\Windows\System32\igfxpers.exe[3460] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                 000007fd27e4f817 1 byte [62]

.text   C:\Windows\System32\igfxpers.exe[3460] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                          000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\Windows\System32\igfxpers.exe[3460] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                          000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE[3188] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                     000007fd27e4f817 1 byte [62]

.text   C:\windows\system32\svchost.exe[3588] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]

.text   C:\windows\splwow64.exe[4360] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163                                          000007fd27e4f817 1 byte [62]

.text   C:\windows\splwow64.exe[4360] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                             000007fd1f111532 4 bytes [11, 1F, FD, 07]

.text   C:\windows\splwow64.exe[4360] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                             000007fd1f11153a 4 bytes [11, 1F, FD, 07]

.text   C:\windows\splwow64.exe[4360] C:\windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                           000007fd1f11165a 4 bytes [11, 1F, FD, 07]

.text   C:\windows\splwow64.exe[4360] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                   000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\windows\splwow64.exe[4360] C:\windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                   000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\SYSTEM32\ntdll.dll!LdrUnloadDll                             000007fd27fb4a10 6 bytes {NOP ; JMP 0xffffffff801bbd4c}

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\SYSTEM32\ntdll.dll!LdrLoadDll                               000007fd27fd31c4 6 bytes {NOP ; JMP 0xffffffff8019d1e0}

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\system32\KERNEL32.dll!GetBinaryTypeW + 163                  000007fd27e4f817 1 byte [62]

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                     000007fd1f111532 4 bytes [11, 1F, FD, 07]

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                     000007fd1f11153a 4 bytes [11, 1F, FD, 07]

.text   C:\Program Files\Internet Explorer\iexplore.exe[1580] C:\windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                   000007fd1f11165a 4 bytes [11, 1F, FD, 07]

.text   C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe[5868] C:\windows\system32\KERNEL32.DLL!GetBinaryTypeW + 163         000007fd27e4f817 1 byte [62]

.text   C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe[5868] C:\windows\system32\psapi.dll!GetProcessImageFileNameA + 306  000007fd2726177a 4 bytes [26, 27, FD, 07]

.text   C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe[5868] C:\windows\system32\psapi.dll!GetProcessImageFileNameA + 314  000007fd27261782 4 bytes [26, 27, FD, 07]

.text   C:\windows\system32\AUDIODG.EXE[5916] C:\windows\SYSTEM32\KERNEL32.DLL!GetBinaryTypeW + 163                                  000007fd27e4f817 1 byte [62]
 

---- Threads - GMER 2.1 ----
 

Thread  C:\windows\system32\csrss.exe [712:736]                                                                                      fffff960008775e8
 

---- Disk sectors - GMER 2.1 ----
 

Disk    \Device\Harddisk0\DR0                                                                                                        unknown MBR code

Disk    \Device\Harddisk0\DR0                                                                                                        sector 0: rootkit-like behavior
 

---- EOF - GMER 2.1 ----

Kannst du da bitte nochmal drüberschauen?

Ansonsten läuft der Rechner flüssig.

Die MBR Meldung kommt daher, dass Du Windows 8 hast. ;)

GMER Log ist clean. :)

Danke für die Info Machiavelli. Dann sieht der Rechner aus deiner Sicht clean aus, oder sollte ich nochmals den ein, oder anderen Log posten?