Name: b33bxgek.th Virus: Win32: Malware-gen (sagt Avast)
 

Hallo,

ich habe ein Problem. Das Problem ist eine Malware.
Es ist ein Ordner unter C:\Programme mit dem Namen du03mv7b. In dem Ordner ist noch ein Ordner mit einem Namen, der einem Registrierungswert ähnelt.
Ich habe den übergeordneten Ordner einmal gelöscht (du03mv7b) somit auch den untergeordneten Ordner ({DE663D......}). Ich habe danach den Computer neu gestartet.
Mir fiel während dem Neustart etwas auf. Der Rechner benötigte zum Laden des Windows bis zum Login nur 1/3 der sonstigen Zeit o.O.
Ich dachte damals das die 10 Sekunden vorher normal seien, wegen neuen Windows-Updates oder sonst irgendwas. Damals habe ich mich geirrt, denn es ist ein Virus (meine Theorie).
Also der Rechner hatte nach dem Löschen und Neustart nur 3 Sekunden benötigt. Danach loggte ich mich ein öffnete C:\Program Files und wenige Sekunden nach Login erstellte sich der Ordner von neuem. Avast schlug wieder aus, das ein Virus erkannt wurde.
Entweder ist es rundll32.exe oder spoolsvc.exe und von den beiden Dateien wird der "Virus" aus gestartet, bzw. steht in einer Abhängigkeit zueinander (das habe ich so im I-net gelesen, das die Dateien und deren Systemrechte benutzt werden um die Viren zu starten).
So und jetzt weiss ich nicht mehr weiter und ersuche euch um Hilfe, damit ich das Problem bzw. diesen Ordner der mein Windows ausbremst entfernen kann!

Mit freundlichen Grüßen!

PS. Bild ist im Anhang. Avast zeigt mir die Virusmeldung nur beim Systemstart. Wenn ich den Ordner nochmals Scanne existiert kein Virus mehr. :confused:

Es hat sich soeben um ~22:52 noch ein neuer Ordner erstellt.
Avast zeigte die selbe Meldung.

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Eine Addition Textdatei hat FRST nicht erstellt...? Also ich konnte keine finden. Windows wollte FRST64.exe nicht ausführen wegen fehlender Signatur. Das Problem hatte ich beim letzten mal auch schon. Also habe ich es im DOS ausgeführt...ist das in Ordnung? Und danke nochmal das ihr mir helft!!! :)

Ich habe gerade in der Registry noch einen Ordner mit dem Namen "jhdbca" gefunden. Den Ordner kenne ich nicht.

In DOS kann man kein FRST64 ausführen. DOS ist ein uraltes 16-Bit-OS.

Mit der Meldung kann ich so nix anfangen...Screenshot?

Ok dann war es eben die Konsole. Ich hatte dafür auf mein Windowssymbol rechts unten geklickt, dann auf "Neu starten" und shift gedrückt gehalten, danach erweiterte Optionen und dann Eingabeaufforderung. DOS ja da hast du recht, ich habe mich da vertan.

Nun ging FRST. Windows hatte vorher das Programm geblockt. Ist ja jetzt auch egal...oder? :confused::crazy:

Nunja hier die FRST-Log :)

Hier die Addition-Log:

1. Schritt: Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




2. Schritt: Kaspersky TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Der jhdbca und dieser Plocersplog Ordner waren also Viren. Ok also darf ich behaupten das ich mein System kenne? :rolleyes::D. Gehts noch weiter oder ist jetzt alles wieder in Ordnung/Sauber?
Gruß!

Malwarebyte´s Antirootkit-Log:

Kaspersky TDSSKiller-Log:

Ich habe mir selber die Logs von MBAR angeguckt. Es waren Objekte in der Registry.
Ich wollte fragen ob dieser Thread auch zur "jhdbca"-Geschichte passt?:
http://www.trojaner-board.de/184151-...-ultimate.html

Und dann habe ich noch eine Frage zur Registry:

Ich habe einen Ordner mit diesem Namen 4 mal:

1. HKCU\SOFTWARE\BB6E08ABDA77AEA3E5F310C19FCB8022
zu 1) hier befinden sich 3 Dateien drinne mit dem Name c,d und o.
Ich finde es seltsam das sie vor 4 Tagen erstellt wurden.
Den Ordner kenne ich auch nicht. Was sind das für Dateien?

2. HKLM\SOFTWARE\BB6E08ABDA77AEA3E5F310C19FCB8022
zu 2) Ich finde in diesem Ordner eine Datei mit dem Namen:
{EFD519A3-DC49-498A-8DD4-AD1DA8F97FCD}

3. HKLM\SOFTWARE\WOW6432Node\BB6E08ABDA77AEA3E5F310C19FCB8022
zu 3) Ich finde in diesem Ordner eine Datei mit dem Namen, gleich dem darüber:
{EFD519A3-DC49-498A-8DD4-AD1DA8F97FCD}

4. HKUS\S-1-5-21-303598687-36277840-1408844204-1001\SOFTWARE
\BB6E08ABDA77AEA3E5F310C19FCB8022
zu 4) Ich finde in diesem Ordner wieder 3 Dateien mit den Namen c,d und o

Current User bedeutet aktueller Nutzer oder? Dann muss ich ja Punkt 4. sein? Und was macht der Schlüssel nun? Außerdem ist ja der Schlüssel noch lokal auf der Maschine.
Ich hoffe ich frage nicht zu viel.

Gruß. :)

Hau mal bitte Avast runter. Avast empfehlen wir schon länger nicht mehr und eine Suite wurd enoch nie empfohlen. Mach nach der Deinstallation von Avast auf jeden Fall einen Reboot und wiederhole anschließend MBAR

Wenn wir hier druch sind kannst du auf ein besseres AV umsteigen. Infos folgen dann im Abschlussposting.

Ich habe für Avast Geld ausgegeben. Ich will dich da nicht in Frage stellen, nur es sind eben 60€ die ich bezahlt habe. Das wäre ziemlich blöd -.-. Muss das umbedingt weg?
Denn ich habe auch SecureLine von Avast (da geheh ich über eine VPN ins Internet).

Kann ich Avast nicht einfach deaktivieren solange MBAR scannt? Wäre das alternativ möglich? Dazu kann ich noch alle Hintergrundienste deaktivieren, also die mit dem Login starten.

Grüße!

Ich halte Suites für totalen Unsinn, aber wenn du drauf stehst :pfeiff:
Einen weiteren Scan mit MBAR solltest du machen weil MBAR zuvor was gefunden hatte => Anleitung richtig lesen

Ok danke. Es ist im Moment nur der Geld der Grund :pfeiff:
Leider muss ich mit meinem Geld wirtschaften, daher ist das leider so.

Ich will hier jetzt aber nicht mit Politik anfangen :D.

Also ich habe das in der Anleitung gelesen. Ich habe das auch bei Norton TDSSKiller gelesen bei Fund eben. Ich glaube da habe ich bei MBAR dann etwas vergessen. :crazy:

MBAR-Log:

Gerade wenn man mit Geld wirtschaften muss, ist die Frage nach "warum 60 EUR für so eine überflüssige Software ausgeben" umso mehr berechtigt. Ich mach mit 60 EUR meinen dicken Lebensmitteleinkauf alle zwei Wochen.


Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Adwarecleaner-Log:

Junkware Removal Tool-Log:

Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken

http://www.trojaner-board.de/picture...&pictureid=611