tolule.net im Temp. Internet File - Trojaner?
 

Hallo Zusammen,

ich wurde vor einigen Tagen von "Plagegeistern" überflutet. Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen gebracht. Aber ein Problem ist mir geblieben.. in den Temporary Internet Files ist eine Datei mit der Beschreibung http://tolule.net/? Leider läßt sich die Datei nicht löschen und mein Unlocker versagt hier auch :(

Ich habe bereits in Google gesucht. Dort tauchen nur amerikanische Sites auf und ich traue mich nicht mehr, diese zu öffnen, da ich beim Öffnen von diversen Internetsites automatisch auf einer anderen Seite lande, bzw. eine zweite Seite geöffnet wird mit irgendeinem Casino und Spieleschrott oder "Anti-Spyware" automatischer Scan, der mir dann den nächsten Trojaner beschert.

Ach ja, noch eine Sache. Ich bekomme ständig die Aufforderung irgendeine neue Hardware zu installieren - irgendein Audiocontroller. Weiß nicht was das soll??????

Kann mir jemand helfen?

Vielen Dank!

Hallo,

Du musst die Logs posten, wir brauchen immer die Infos, was gelöscht wurde!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,

vielen Dank für deine Antwort. Leider funktionierte Spywaredoc nicht mehr. Ich habe ihn daraufhin deinstalliert. Leider wurde der Download der neuesten Version abgebrochen. Ich habe gem. Anleitung den CCleaner laufen lassen. Leider weiß ich nicht, wo ich dort das Logfile finden kann :-(

Das Logfile von Malwarebyte poste ich hier direkt, da es sehr kurz ist. Ich habe in den vergangenen 3 Tagen mehrfach Malwarebyte laufen lassen. Ferner habe ich "händisch" diverse Temp Dateien, Prefetch, Programme u. a. gelöscht. Dennoch leitet mich google teilweise einfach auf dubiose Seiten um. Ich habe auch schon versucht, einen Scan im abgesicherten Modus zu machen. Dieser ließ sich leider nicht öffnen und diese merkwürdige Datei bekomme ich auch nicht aus den Temporary Internet Files raus. Es ist das Mozilla Zeichen mit einer "wild-planlosen" Buchstabenkombination darunter - Unlocker hat auch nichts genützt.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3633
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

27.01.2010 23:48:32
mbam-log-2010-01-27 (23-48-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115264
Laufzeit: 13 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Bin dir für deine Hilfe sehr dankbar!

Viele Grüsse,
Alice

Du hast Malwarebytes nicht aktualisiert, aktuelle DB-Version ist 3649!

Die alten Logfiles nachreichen, sofern Funde dabei waren.
Außerdem fehlen noch die Logs von RSIT.

Hallo Arne,

sorry für meine späte Antwort. Ich war über's Wochenende nicht da.

Wie kann das sein, daß ich eine alte MBAM Version habe. Diese habe ich erst letzte Woche runtergeladen. Mein Versuch, die neue Version runterzuladen scheitert derzeit daran, daß Firefox immer wieder schließt. Auch MBAM meldet ständig Fehler, der Download von RSIT ist mir auch noch nicht gelungen :-((

Ich schicke dir hier mal die verfügbaren MBAM logfiles. Hoffentlich hilft es weiter. Ich bleibe dran und versuche RSIT weiter runterzuladen.

Wo finde ich denn die logfiles des CCleaners? (Ich glaub ich bin zu doof :-((

Viele Grüsse,
Alice

File-Upload.net - Malwarebytes

Vom CCleaner brauch ich keine Logs. ;)
Für RSIT hab ich diesen Alternativlink => File-Upload.net - pluescheule.exe
(ist ne umbenannte Version, die rsit.exe heißt pluescheule.exe ;) )

Malwarebytes solltest Du über die Updatefunkion im Programm selbst aktualisieren! Nur dann werden auch neue DB-Versionen installiert!

Vielen lieben Dank! Das hat nun mal funktioniert :-)

Hier der Link zum RSIT logfile:
File-Upload.net - Logfile-of-random--s-system-information-tool-1.06

Nachfolgend noch das neue Logfile von MBAM in der aktuellen Version:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3671
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

01.02.2010 11:41:15
mbam-log-2010-02-01 (11-41-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 116450
Laufzeit: 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mghxz.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.


So, und nun hoffe ich, daß die Antwort wieder durchgeht. Bei jedem Posting stürzt mir alles ab und ich bete, daß die Nachricht noch durchgeht!

Viele Grüsse,
Alice

Du hast nur ein Quickscan gemacht :(
Oder geht der Vollscan mit Malwarebytes nicht?

Ich versuch's weiter....:-((

Er geht schon, läuft aber nicht durch. Im Verlauf des Scan's kommt irgendwann die Nachricht, daß Malwarebytes ein Problem festgestellt hat und geschlossen werden muß.

Sobald ich einen vollständigen Scan habe, poste ich ihn.

Grüsse,
Alice

Dann machen wir das mit Malwarebytes später und zuerst nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

habe deine Anweisungen befolgt. Mir wurde ganz schwindlig bei der Combofix Aktion :-))

Er hat mir eine Windows Wiederherstellungskonsole runtergeladen und ich mußte ein EULA Agreement bestätigen. Nach dem letzten Neustart kam folgende Fehlermeldung:

SQL Server cannot find default instance (MSSQLSERVER)....

If you believe that your installation is corrupt or has been tampered with, uninstall then re-run setup to correct this problem.

Muß ich damit was anfangen können - ist das alles in Ordnung? :-(

Das Combofix logfile ist hier : File-Upload.net - ComboFix.txt

Es ist ein wenig lang, um es hier zu posten.

Viele Grüsse!
Alice

Ich seh da so eigentlich keinen Sinn, dass auf Deinem Rechner ein SQL-Server installiert sein muss. Den kannst Du eigentlich deinstallieren über Systemsteuerung, Software. Falls da ne Meldung kommt, dann poste bitte welche bzw. welche Programme den unerwarteterweise doch brauchen.

Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne!

Hier ist der Link zum neuen Combofix logfile: File-Upload.net - ComboFix.txt

Oh, habe vergessen, den SQL Server runterzuwerfen :-((

(Ist jetzt auch erledigt. Es kam keine Fehlermeldung. SQL Server wurde anstandslos entfernt)

Viele Grüsse,
Alice

PS: Wenn es euch hier nicht gäbe ......:-))

ok :)
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Hab nochmal 'ne Frage...kann man euch auch ohne Paypal spenden. Die wollen von mir ständig 'ne vollständige Freigabe. Ich mag aber nicht. Kann man auch einfach Überweisen?

LG, Alice

Müsste ich mal fragen...ich mein wir haben nur ein PayPal-Konto. Vllt erstellt DaGuru ja mal ein einfaches Girokonto :D

Hi Arne,

nachfolgend das neue MBAM logfile:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3674
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

01.02.2010 22:54:22
mbam-log-2010-02-01 (22-54-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 170596
Laufzeit: 24 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Alice\ANWEND~1\Adobe\Update\mmcset.dat.vir (Malware.Trace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Alice\LOKALE~1\temp\23756175369.nls.vir (Malware.Trace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\MGHwTemp.sys.vir (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{40FD8F8E-073F-41B3-A7AA-EB7224921E36}\RP1\A0000019.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{40FD8F8E-073F-41B3-A7AA-EB7224921E36}\RP1\A0000115.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{40FD8F8E-073F-41B3-A7AA-EB7224921E36}\RP1\A0000142.com (Adware.Swizzor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\termsrv.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Eines war allerdings seltsam...als ich das Logfile kopieren wollte, ist mein System selbständig runtergefahren :-((

LG, Alice

Bitte nochmal frische RSIT Logs posten.

Moin,

hier ist RSIT log: File-Upload.net - log.txt

Irgendwas hab' ich mal wieder falsch gemacht. Die info.txt ist von gestern!?

LG, Alice

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hi Arne,

here we go....

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\Drivers\MGHwCtrl.sys" deleted successfully.
Driver "MGHwCtrl" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

LG, Alice

Dann müssten wir jetzt eigentlich durch sein oder hast Du noch Meldungen, Probleme, ... ?

Wenn nicht, bitte unbedingt die Updates prüfen!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. ums Service Pack 3 (SP3) und den IE8, auch wenn Du ihn nicht nutzt.


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen vielen herzlichen Dank!

Ich gehe nachher nochmal deine letzte Liste durch und hoffe, daß sich dann hier alles erledigt.

Check nochmal die Sache mit eurer Kto.-Nr.

Ihr seid echte Engel hier im Netz. Andernfalls würden wahrscheinlich soviele Planlose wie ich, die Kisten einfach aus dem Fenster werfen :-))

Lg, Alice