Trojaner-Board - Habe Trojaner, kann exe dateien nicht ausführen, anti-viren programme weg, ... HILFE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Habe Trojaner, kann exe dateien nicht ausführen, anti-viren programme weg, ... HILFE (https://www.trojaner-board.de/76850-habe-trojaner-exe-dateien-ausfuehren-anti-viren-programme-weg-hilfe.html)

Hi,

ok, das gibt zumindest mal einen anhaltspunkt was los sein könnte.

Hattest du versucht malwarebytes laufen zu lassen?

lg myrtille

also ich habe jez son repariervorgang von acer gemacht und jez konnte ich das antivir setup ausführen aber am ende kommt die meldung:
Die Datei C:\Users\XXX\AppData\Local\Temp\RarSFX0\basic\setup.exe wurde verändert. Setup kann nicht fortgesetzt werden.

malware kann ich i-wie nicht runterladen

Hi,

Kannst du diese Datei C:\Users\ XXX \AppData\Local\Temp\RarSFX0\basic\setup.exe bitte mal bei virustotal hochladen.

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Users\ XXX \AppData\Local\Temp\RarSFX0\basic\setup.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

lg myrtille

ich finde keine RarSFX0 in dem Ordner Temp

Hi,

Siehst du denn eine ausführbare Datei in Temp? Wenn ja, dann lade diese bitte zu virustotal hoch.

Kannst du denn die Webseite von Antivirenherstellern besuchen? Wäre zb ei Onlinescan mit Kaspersky möglich?

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

lg myrtille

also seite kann ich aufrufen aber java funktioniert nicht und update schlägt fehl

habe die datei V5TOHtC6.exe.part gescannt und da kam eine meldung und zwar
McAfee+Artemis 5724 2009.08.29 Suspect-29!1F28E1BE29A0

McAfee ist glaube ein viren programm das am anfang auf dem rechner drauf war aber nur für 1monat kostenlos war also hab ichs dann runtergeschmissen

Hi,

öffne bitte nochmal die Eingabeaufforderung und gib folgendes ein:

cd %temp%
dir *.exe >tmp.txt &&tmp.txt

Poste den Inhalt des sich öffnenden Fensters hier.

Wenn der Ordner leer ist, dann lade dir bitte folgende Datei herunter und führe sie aus:
Klick.

Wenn die Datei dich scannen lässt und dir ein Log erstellt, dann poste das bitte hier, wenn sie sich nicht ausführen lässt, dann lade die Datei bitte bei Virustotal hoch.

lg myrtille

01.10.2008 20:16 12.242.156 13387.exe
01.11.2005 05:09 749.568 AutoRun.exe
06.10.2003 01:58 311.296 eauninstall.exe
29.08.2009 18:50 714.528 firefoxjre_exe.exe
04.10.2008 20:16 1.882.328 FP_AX_MSI_INSTALLER.exe
17.12.2004 12:51 57.344 ICQInstall.exe
25.09.2003 06:02 106.496 LOTR The Return of the King tm_uninst.exe
05.10.2003 05:13 167.936 rotk_uninst.exe
25.08.2008 21:09 208.896 RtkBtMnt.exe
24.08.2005 07:46 3.026.944 UNNeroShowTime.exe
06.03.2008 20:00 459.400 _isE257.exe
06.03.2008 20:00 459.400 _isEA52.exe
12 Datei(en), 20.386.292 Bytes
0 Verzeichnis(se), 65.726.750.720 Bytes frei

die letzten beiden dateien habe ich schon gescannt da war nichts
was soll ich jetzt als nächstes tun?
die o.g. dateinen scannen?

Hi,
scanne bitte diese Datei, das sollte reichen: 13387.exe

Öffne bitte deinen Editor und kopiere folgenden Text hinein:

Code:

' VBScript to restore .exe file association with Windows XP

Option Explicit
 

Dim strComputer

Dim objRegistry,objDictionary
 

strComputer = "."

Set objRegistry=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_

strComputer & "\root\default:StdRegProv")
 

Set objDictionary = CreateObject("Scripting.Dictionary")

objDictionary.Add "HKCR",&h80000000
 

Call RegAddString( "HKCR", ".exe", "", "exefile")

Call RegAddString( "HKCR", ".exe", "Content Type",_

"application/x-msdownload" )

Call RegAddString( "HKCR", ".exe\PersistentHandler", "",_

"{098f2470-bae0-11cd-b579-08002b30bfeb}" )

Call RegAddString( "HKCR", "exefile", "", "Application" )

Call RegAddBinary( "HKCR", "exefile", "EditFlags", "38,07,00,00" )

Call RegAddString( "HKCR", "exefile", "TileInfo",_

"prop:FileDescription;Company;FileVersion" )

Call RegAddString( "HKCR", "exefile", "InfoTip",_

"prop:FileDescription;Company;FileVersion;Create;Size" )

Call RegAddString( "HKCR", "exefile\DefaultIcon", "", "%1" )

Call RegAddString( "HKCR", "exefile\shell", "", "" )

Call RegAddString( "HKCR", "exefile\shell\open", "", "" )

Call RegAddBinary( "HKCR", "exefile\shell\open",_

"EditFlags", "00,00,00,00" )

Call RegAddString( "HKCR", "exefile\shell\open\command", "",_

Chr(34) & "%1" & Chr(34) & Space(1) & "%*" )

Call RegAddString( "HKCR", "exefile\shell\runas", "", "" )

Call RegAddString( "HKCR", "exefile\shell\runas\command", "",_

Chr(34) & "%1" & Chr(34) & Space(1) & "%*" )

Call RegAddString( "HKCR", "exefile\shellex", "", "" )

Call RegAddString( "HKCR", "exefile\shellex\DropHandler",_

"", "{86C86720-42A0-1069-A2E8-08002B30309D}" )

Call RegAddString( "HKCR", "exefile\shellex\PropertySheetHandlers", "", "" )

Call RegAddString( "HKCR", "exefile\shellex\PropertySheetHandlers\PifProps",_

"", "{86F19A00-42A0-1069-A2E9-08002B30309D}" )

Call RegAddString( "HKCR", "exefile\shellex\PropertySheetHandlers\ShimLayer Property Page",_

"", "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" )
 

Function RegKeyExists(rootkey, keypath)

Dim arrValueNames, arrValueTypes

If objRegistry.EnumValues(objDictionary(rootkey), keypath, arrValueNames, arrValueTypes) = 0 Then

RegKeyExists = True

Else

RegKeyExists = False

End If

End Function
 

Sub RegAddKey(rootkey, keypath)

objRegistry.CreateKey objDictionary(rootkey),keypath

End Sub
 

Sub RegAddString(rootkey, keypath, valuename, valuedata)

If Not RegKeyExists(rootkey, keypath) Then

Call RegAddKey( rootkey, keypath )

End If

objRegistry.SetStringValue objDictionary(rootkey),keypath,valuename,valuedata

End Sub
 

Sub RegAddBinary(rootkey, keypath, valuename, valuearray)

Dim arrValue(),arrHexValue,i,HexVal
 

arrHexValue = Split(Trim(valuearray),",")

i=0

For Each HexVal in arrHexValue

Redim Preserve arrValue(i)

arrValue(i) = "&h" & HexVal

i=i + 1

Next

objRegistry.SetBinaryValue objDictionary(rootKey),keypath,valuename,arrValue

Redim arrValue(0)

End Sub

Speichere die Datei als exefix.vbs auf deinem Desktop ab und wähle als Dateityp Alle Dateien aus.

Führe die Datei per Doppelklick aus, teste danach ob du wieder exe-Dateien ausführen kannst.

Zitat:

also ich habe jez son repariervorgang von acer gemacht

Was hast du genau gemacht?

lg myrtille

also exe datein ausführen geht so weit ich getestet habe
ich lad jez nochmal antivir und probiere es zu installen

muss i-was kommen oder so nachdem ich die editor datei ausgeführt habe?

EDIT: ne anti-vir geht wieder nicht

achso wenn ich rechner starte und entf drücke komme ich nicht ins bios sondern in so ein acer prgramm und dann kann man auf computer reparieren klicken und das habe ich gemacht hat aber wie man sieht nichts gebracht^^

Nein, das sollte nur die ausführbaren Dateien wieder zugänglich machen.

Hast du die Datei 13387.exe auswerten lassen?

achso ne die finde ich nicht -.-
auch nicht mit suche

Hi,

versuche bitte nochmal Malwarebytes herunterzuladen und laufen zu lassen.

Nimm den Link der unter Direkt Download steht, der sollte gehen. Speichere die Datei am besten nicht als mbam-setup.exe ab sondern, gib ihr einen anderen Namen damit die Malware die Datei nicht direkt erkennen kann.

Wenn das klappt, dann führe bitte einen Quickscan mit Malwarebytes aus und poste das Ergebnis hier.

Scanne bitte dein Problem außerdem mit folgenden Programmen:
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in hier in den Thread.

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

Lasse bitte außerdem den OnlineScan von DrWeb CureIt deinen Rechner überprüfen! Anleitung ist hier: link

lg myrtille

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2713
Windows 6.0.6001 Service Pack 1

29.08.2009 20:13:47
mbam-log-2009-08-29 (20-13-47).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 87846
Laufzeit: 5 minute(s), 10 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 12
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 22

Infizierte Speicherprozesse:
C:\Windows\Temp\VRT511C.tmp (Backdoor.Bot) -> Unloaded process successfully.
C:\Windows\System32\sofatnet.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\Windows\System32\wiawow32.sys (Backdoor.Bot) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Windows\System32\EvdoServer.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sofatnet (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sofatnet (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cognac (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\Temp\VRT511C.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\EvdoServer.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\dvdpaly.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\wiwow64.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT162E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT1747.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT253B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT4346.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT58D9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT671C.tmp (Malware.Tool) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT68B1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT7898.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT9E41.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTA285.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTB1A2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTBDF1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\b6qrL2L3.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\ieupdates.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\sofatnet.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\wiawow32.sys (Backdoor.Bot) -> Delete on reboot.
C:\Windows\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Ich habe nochmal D gescannt also nciht quick sondern normal:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2713
Windows 6.0.6001 Service Pack 1

29.08.2009 20:35:56
mbam-log-2009-08-29 (20-35-56).txt

Scan-Methode: Vollständiger Scan (D:\|)
Durchsuchte Objekte: 95156
Laufzeit: 5 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

jez scann ich nochmal C in normal