Trojaner auf dem Rechnern, Virenscan bringt immer wieder selbe Ergebnisse
 

Hallo Leute,

brauche mal dringend hilfe!

Vor ner Woche konnte ich meinen PC neuaufsetzten, weil Win XP nicht mehr richtig hochgefahren werden konnte, weder im abgesicherten noch im vollmodus.

habe den rechner neuaufgesetzt und dachte es wäre dann alles in Ordnung.
Dann wollte ich Überweisungen per Online Banking ausführen und hatte dann einen trojanerangriff. Ich wurde aufgefordert 40 pins einzugeben. ich habe dann den rechner sofort ausgemacht. spybot und adaware installiert und es wurden diverse dinge gefunden. einige kommen auch nach angeblichen löschen bei jedem scann wieder durch.

habe mir hier die Checkliste durchgelesen und auch die entsprechenden Programme runtergeladen und durchlaufen lassen.

Soll ich nun die Ergebnisse hier einfach in den Beitrag posten?

LG

Ja bitte alles posten. Im Notfall, falls die Logs zu groß sind, bitte alle in ein ZIP Datei packen und hier anhängen.

Trojaner auf dem Rechnern, Virenscan bringt immer wieder selbe Ergebnisse
 

hi, danke für die Antwort:

Los gehts mit

SuperAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/07/2010 at 07:29 PM

Application Version : 4.41.1000

Core Rules Database Version : 5330
Trace Rules Database Version: 3142

Scan type : Complete Scan
Total Scan Time : 00:32:59

Memory items scanned : 470
Memory threats detected : 0
Registry items scanned : 5535
Registry threats detected : 0
File items scanned : 33617
File threats detected : 14

Adware.Tracking Cookie
D:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[3].txt
D:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[3].txt
D:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.hannoversche[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adx.chip[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.hannoversche[2].txt

Trojan.Agent/Gen-Nullo[Short]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{44817DF3-2B4E-40C9-AFE5-2E31E2580516}\RP34\A0010811.EXE

hier Ergebnisse:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4404

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.08.2010 18:14:22
mbam-log-2010-08-07 (18-14-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125823
Laufzeit: 4 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{46632236-b9cb-0724-8ee3-2524e08388cb} (Heuristics.Shuriken) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Evep\muma.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

und hier die info.txt:

info.txtRSIT Logfile:
--- --- ---

und hier die logfile

RSIT Logfile:
--- --- ---

und hier auch noch die Ergebnisse des Scannens von

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 7. August 2010 20:50

Es wird nach 2685921 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:04:17
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:04:22
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 14:04:32
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 14:04:32
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 14:04:32
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 14:04:32
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 14:04:32
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 14:04:32
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:04:32
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:04:34
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 16:23:38
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 21:12:24
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 10:39:31
VBASE018.VDF : 7.10.10.85 1536 Bytes 06.08.2010 10:39:31
VBASE019.VDF : 7.10.10.86 1536 Bytes 06.08.2010 10:39:31
VBASE020.VDF : 7.10.10.87 1536 Bytes 06.08.2010 10:39:31
VBASE021.VDF : 7.10.10.88 1536 Bytes 06.08.2010 10:39:31
VBASE022.VDF : 7.10.10.89 1536 Bytes 06.08.2010 10:39:31
VBASE023.VDF : 7.10.10.90 1536 Bytes 06.08.2010 10:39:31
VBASE024.VDF : 7.10.10.91 1536 Bytes 06.08.2010 10:39:31
VBASE025.VDF : 7.10.10.92 1536 Bytes 06.08.2010 10:39:32
VBASE026.VDF : 7.10.10.93 1536 Bytes 06.08.2010 10:39:32
VBASE027.VDF : 7.10.10.94 1536 Bytes 06.08.2010 10:39:32
VBASE028.VDF : 7.10.10.95 1536 Bytes 06.08.2010 10:39:32
VBASE029.VDF : 7.10.10.96 1536 Bytes 06.08.2010 10:39:33
VBASE030.VDF : 7.10.10.97 1536 Bytes 06.08.2010 10:39:33
VBASE031.VDF : 7.10.10.102 60416 Bytes 06.08.2010 10:39:33
Engineversion : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 14:04:42
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 31.07.2010 14:04:42
AESCN.DLL : 8.1.6.1 127347 Bytes 31.07.2010 14:04:41
AESBX.DLL : 8.1.3.1 254324 Bytes 31.07.2010 14:04:42
AERDL.DLL : 8.1.8.2 614772 Bytes 31.07.2010 14:04:41
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 10:39:36
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 31.07.2010 14:04:40
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 07.08.2010 10:39:36
AEHELP.DLL : 8.1.13.2 242039 Bytes 31.07.2010 14:04:37
AEGEN.DLL : 8.1.3.19 393587 Bytes 07.08.2010 10:39:33
AEEMU.DLL : 8.1.2.0 393588 Bytes 31.07.2010 14:04:36
AECORE.DLL : 8.1.16.2 192887 Bytes 31.07.2010 14:04:36
AEBB.DLL : 8.1.1.0 53618 Bytes 31.07.2010 14:04:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 7. August 2010 20:50

Der Suchlauf nach versteckten Objekten wird begonnen.
d:\programme\wlan monitor\accwpac.exe
d:\Programme\WLAN Monitor\accwpac.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
d:\windows\system32\regsvr32.exe
d:\WINDOWS\system32\regsvr32.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
d:\windows\system32\regsvr32.exe
d:\windows\system32\regsvr32.exe
d:\windows\system32\regsvr32.exe
d:\windows\system32\regsvr32.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'accwpac.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlconfig.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1008' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Samstag, 7. August 2010 21:25
Benötigte Zeit: 34:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10526 Verzeichnisse wurden überprüft
341174 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
341174 Dateien ohne Befall
1425 Archive wurden durchsucht
0 Warnungen
0 Hinweise
426569 Objekte wurden beim Rootkitscan durchsucht
6 Versteckte Objekte wurden gefunden

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Trojaner auf dem Rechnern, Virenscan bringt immer wieder selbe Ergebnisse
 

hi,

ok hier die log von malwarebytes von gerade eben, OTL mach ich jetzt gleich danach:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4406

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.08.2010 17:41:49
mbam-log-2010-08-08 (17-41-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 210254
Laufzeit: 40 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier otl logfile als zip datei und auch
die otl extras als zip datei, siehe unten

Wieso machst Du daraus *doc Dateien?? Du willst bloß Text transportieren und die Logs lagen bereit im richtigen Format vor - OTL.txt und Extras.txt - diese will ich haben!

Hi hier hoffentlich die richtigen Dateitypen, ich bitte um Nachsicht, kenn mich da nicht so aus!

Diesmal stimmts aber hoffentlich. Eine Date iist ungepackt und die andere gepackt, da zu groß war.

Viele Grüße

Sieht rel. unauffällig aus. Mach aber mal einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hi, erledigt, allerdings kam ich nach comofix erstmal nicht mehr ins interent und musste meinen arcor w-lan monitor neu installieren, aber
hier die Auswertung (siehe unten als Anhang)

Hallo Cosinus,

verzeih meine NAchfrage,

aber wie geht es weiteR?

bin echt beunruhigt wegen des Trojaners

Sry, hab Deinen Strang übersehen http://cheesebuerger.de/images/midi/konfus/a042.gif


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,

hab ich auch erledigt.

siehe anlage

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

hi,

hier der OSAM log.


OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Wasist mit GMER und der remover.exe?

Gmer Stürzt wie von dir richtg vermutet permanent ab! DaS mit renktet ex mach ich sobald ich Luft habe, was heute Abend schwierig wird!wusste gestern nicht ob ich das schon machen sollte oder erst das einen nur Posten soll

Hi, also hier alles was im schwarzen Fenster von remover.exe kam:

"Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version 1.1.0.0.
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\D:
\\.\D: -> \\.\PhysicalDrive 0at offset 0x00000000 ´00007e00
Bootsector MD5 is: 5ddc20efcc4d1dab37c348c7db7289ch
Size Device Name MBR Status
232 GB \\.\PhysicalDrive 0 Unknown boot code

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:
remover.exe dump<device_name> [output_file]

To desinfect the master boot sector use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit"


Und was nun? Der hat also irgendwas gefunden, richtig? ist es schlimm?

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

hi, du meinst d/windows/system32 und nicht laufwerk C oder?


Hab es ausgeführt, hier ist die Antwort:

Restoring bootcode at \\.\PhysicalDrive0...
OK



und was nun, Arne?

hi Arne,
hast mich vergessen?

Sagmal gehts noch?? Ich bin doch nicht 24/7 im Board, darf ich auch nochmal was anderes machen?! :eek:

Führ zur Kontrolle die remover.exe per Doppelklick aus und poste die Ausgabe..

hi Arne,

heyy, das war doch nicht böse gemeint! natürlich hast du noch andere dinge zu erledigen. ich bin mächtig froh, dass es euch hier gibt und dass du dir die zeit nimmst mir und anderen zu helfen! gar keine Frage!!!

hier die ausgabe der remover .exe nach weiterer Kontrolle nun folgendes Ergebnis:

System volume is \\.\D:
\\.\D: -> \\.\PhysicalDrive 0at offset 0x00000000 ´00007e00
Bootsector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
232 GB \\.\PhysicalDrive 0 Ok (DOS/Win32 Boot code found)


Da hat sich doch was verändert, richtig? Das ist doch gut, oder?

Liebe Grüße

nein dann ist es ok :party: ich mag es nur nicht, wenn am nächsten Tag schon gedrängelt wird :schmoll:

Ja, der MBR ist nun ok :daumenhoc

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hi,

hier die logs von

1. Malewarebytes in der Anlage und

2. SUPERAntiSpyware hier :


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/15/2010 at 06:13 PM

Application Version : 4.41.1000

Core Rules Database Version : 5359
Trace Rules Database Version: 3171

Scan type : Complete Scan
Total Scan Time : 00:29:25

Memory items scanned : 476
Memory threats detected : 0
Registry items scanned : 5541
Registry threats detected : 0
File items scanned : 30537
File threats detected : 9

Adware.Tracking Cookie
D:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.hannoversche[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tracking.hannoversche[2].txt

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

hi, eigentlich nicht!

meinst du, ich kann es jetzt wagen mich beim online banking wieder einzuloggen und zu prüfen, ob das Popup fenster mit den 40 tans wieder kommt?


woran lag das mit dem trojaner jetzt eigentlich? was hast du in den ganzen auswertungen gefundne?

hatte ich nen trojer jedes mal wenn ich den rechner hochgefahren habe oder was war das mit dem bootlog?

viele Grüße

Ja, wir haben Schädlinge entfernt. Mit CF und der remover.exe

Wir wären jetzt auch durch. Bitte die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Trojaner auf dem Rechnern, Virenscan bringt immer wieder selbe Ergebnisse
 

ok, werd ich machen, nochmals ganz ganz vielen lieben dank, echt spitze euer support!

nochmal aus neugier! Hatte ich denn diesen sogenanntne "Zeus 2" auf dem Rechner, der ja in aller munde ist im moment!?

achja was ich noch fragen muss,

hab ja im moment so extrem viele virusprogramme auf dem Rechner, welche sollte ich runterschmeissen? welche drauflassen?

was ist mit ad aware? mit superantispywarE? Avira?

hi cosinus,

der ms update funzt nicht. der gibt mir immer die Fehlermeldung dass:



Von Microsoft Update benötigte Dateien sind nicht mehr auf Ihrem Computer registriert oder installiert. Gehen Sie folgendermaßen vor:


Erforderliche Dateien jetzt registrieren oder neu installieren (empfohlen) X
Weitere Informationen zur Behebung des Problems anzeigen X


Wenn ich dann Erforderliche Dateien jetzt registrieren oder neu installieren (empfohlen) X
wähle kommt:

[Fehlernummer: 0x8007041D]
Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist. Mit den folgenden Optionen kann das Problem möglicherweise behoben werden.
Optionen zur Selbsthilfe:

Auf der Hilfeseite ist diese spezielle fehlernummer aber nicht aufgeführt.! Was nun?

und nochmal ich:

ich kann die neuen java versionen nicht installieren. Es kommt folgende Fehlermeldung, die einen Start des Downloas verhindert.:

Your download transaction cannot be approved. Contact Customer Service.

hi, meine letzten beiträge kann ich dahingehend einschränken, dass ich dir mitteile, dass die update seite von microsoft jetzt bei mir ging udn ich 1 update installieren konnte.

Aber Java download klappt derzeit nicht!