AV meldet Obfuscator.ER und Spy.Agent.xps
 

Hallo Trojaner-Board Community,

Seit etwa einer Woche habe ich einen vermeintlichen Virus auf meinem System (Laptop, Windows Vista Business SP1, Avira AntiVir PE, CCleaner, Windowsfirewall Aktiv)
Der äußerte sich bisher durch gelegentliches Aufrufen von Werbeseiten mit dem IE, ohne das ich auch nur annähernd etwas gestartet hätte.

Zunächst wollte ich natürlich selber erst mal was herausfinden, leider lassen sich weder AntiMalware noch Hijackthis installieren. Bei ersterem folgt nach erfolgreicher Installation ein Windowsfenster mit "Malwarebytes... funktioniert nicht mehr". HJT startet erst gar nicht. Seit ich mir dann die Sunbelt Personal Firewall installiert habe, meldet sich kein Fenster mehr (ich blocke ja auch alle ein/ausgehenden Verbindungen die ich nicht kenne...)

Außerdem findet AntiVir seit etwa 2 Tagen immer die selben Schädlinge:

--> SPR/Tool.Obfuscator.ER.42
--> TR/Spy.Agent.xeq

beide im Ordner C-Windows-System32-Beginnend mit "MSIVX..."
Hochladen bei einem Onlinevirenscanner geht nicht, da ich die Dateien nicht finden kann, trotz entsprechenden Einstellungen in den "Ordneroptionen"

Eventuell hat einer von euch noch einen Tipp zum weiteren Vorgehen. Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss (Mein Laptop hat eine XP Version samt Treiber mitgeliefert, die würde ich dann bei der Gelegenheit draufspielen...)

Auf alle Antworten freue ich mich, Danke schon mal im Voraus, Viele Grüße

Hedgehog :)

Hallo und :hallo:
Dann tue es, denn Neuaufsetzen ist immer schneller und sicherer als Säuberung.
http://www.trojaner-board.de/51262-a...sicherung.html

Den hatte ich gerade und wir sind immer noch nicht durch. :)
http://www.trojaner-board.de/74136-a...ndet-mods.html

Wenn dir der Weg lieber ist, dann fange mit Gmer an.

ciao, andreas

Danke :) Ging ja richtig Fix mit ner Antwort hier :daumenhoc

Wie gesagt, Neu aufsetzen würd ich nur wenn nichts anderes mehr geht, mir fehlt grade die Zeit.

Werds heut Abend mal mit Gmer probieren :)

Irgendwie muss das mit HJT doch funktionieren...

Warum die HJT ausser Kraft setzen, leuchtet nicht wirklich ein, der ist dort gar nicht zu sehen. :D

ciao, andreas

So, hier die Log-File von GMER. Gefunden hat er was.
LINK -->http://rapidshare.com/files/245695782/123.log

Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)??

Grüße und gute Nacht

Schöner Link, nur ich kann da nicht so richtig klicken. :D
Wenn du dir das zutraust, ja, poste sicherheitshalber alle Logs.

ciao, andreas

Zutrauen, das eigentlich schon. Du hast es ja wirklich gut beschieben.
Nur ob ich die Skripte so verwenden kann...

Sorry, keine ahnung warum Rapidshare nicht mitspielen will.
Habs jetzt bei mir auf meinen Webspace bei Funpic hoch geladen.

--> http://tocoolforhell.to.funpic.de/123.log

Und bevor ichs vergesse: Vielen Dank für deine Unterstützung!! :)

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

Das meinte GMER:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

OK, ab heute hab ich wieder Zeit :)

Hier das Gmer Log:
--> http://tocoolforhell.to.funpic.de/gmer 23.6.09.log

Danach hab ich Hopsassa ausgeführt, mit dem oben beschriebenen Script.
Ergebnis:
Soll ich als nächsten Schritt ComboFix benutzen, oder gibt es Änderungen am Avenger-Script??

Viele Grüße, Hedgehog :)

Weiter mit Combofix.
Du hast es zweimal laufengelassen. :)

ciao, andreas

Hier das Protokoll:

http://tocoolforhell.to.funpic.de/Log.txt

Du hast da Software am Laufen, die ich noch nicht gesehen habe.

Was ist das?
Lade die Dateien
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Vielen Dank für deine Unterstützung, Andreas.
Hast auf jeden Fall was gut bei mir!!!

Alle 4 Dateien hab ich hochgeladen.
"Traktor" ist ne DJ Software, die ich mal Testweise Installiert hab.