Trojaner Exploit.Java.Agent.cs
 

Hilfe !!!

Mein Kaspersky Internet Security 2010 hat folgende Mailware gefunden:

Exploit.Java.Agent.cs

Ich weiß nicht, was ich nun machen soll. Kaspersky fragt mich, ob ich das
Archiv löschen, oder überspringen soll. Wenn ich auf Überspringen klicke (was empfohlen wird), verändert sich nichts. Gefunden wurde der Trojaner in:


C:\Dokumente...\2bc8d815a2cb64b2.klq//AppleT.class

Was mache ich nun? Da ich nicht der Computerfachmann bin, brauche ich dringend Eure Unterstützung und Hilfe.

Im Voraus schon einmal DANKE !

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo Swiss,

vielen Dank für Deine Antwort und ausführliche Anleitung. Hat gut geklappt und nachstehend präsentiere ich Dir die beiden OTL Ergebnisse. Gestern noch, habe ich die Ursprungsdatei (von Kaspersky angegeben) im Temp Ordner gelöscht.
Danach einen neuen kompletten Virenscan und eine Festplattendegfragmentierung durchgeführt. Danach hat Kasperky nicht mehr gewarnt!

Mit Spannung erwarte ich Deine Antwort und sende Dir schöne Grüße!

----------------------------------------------------------------------

Schritt 1

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

Schritt 2

Downloade Malwarebytes Anti-Malware (ca. 2 MB) von diesen Downloadspiegel:

Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
• Aktiviere "Komplett Scan durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

Guten Morgen Swiss,

danke für die ausführliche Anweisung. Habe alles ausgeführt und per Malwarebytes ein Trojaner gefunden. Diesen habe ich gelöscht und Dir die Logdatei angehängt. Da ich den Trojaner erst gerade gelöscht habe, kann ich Dir noch nicht sagen, wie der Computer jetzt läuft. Das einzigste was mir auffällt, ist das der Computer nicht mehr im Hintergrund läuft! Ist das richtig, das sich der Trojaner in Tune up eingenistet hat? Was kann ich tun, damit in Zukunft sowas nicht mehr passiert?

:abklatsch:

Danke für die Antwort und einen schönen Sonntag noch!
----------------------------------------------------------------

Kein weiterer Support möglich

Die Nutzung von Cracks, Keygens und Patchs, die das Ziel haben, Bezahlsoftware ohne Bezahlung nutzbar zu machen, ist illegal und wir haben uns darauf geeinigt, dass wir uns nicht der Beihilfe schuldig machen werden. Dieses Forum unterliegt deutschen Gesetzen und die sind diesbezüglich sehr streng.

Dass Cracks und Keygens im Wesentlichen dazu dienen, um auf den Computern Malware und Backdoors unterzubringen, ist kein Geheimnis und muss jedem klar sein.

Da bleibt mir nichts weiter, als Dir zu empfehlen, in Zukunft auf derlei Software zu verzichten. Mit solcher Software endet der Support und beschränkt sich auf den Hinweis, das System neu zu installieren. Wenn Du das System neu installiert hast, kannst Du gerne einen neuen Thread eröffnen. Dieser Thread wird geschlossen.

Hallo Swiss!

Jetzt verstehe ich nichts mehr. Das Programm hat mir ein Bekannter installiert. Das heißt, das Programm ist illegal? Falls ja, dann werde ich es sofort deinstallieren!! Wenn ich das Programm deinstalliert habe, muss ich dann mein komplettes System neu installieren?

Mir ist das alles sehr peinlich und ich möchte mich bei Dir entschuldigen! Das ist mir eine große Lehre und ich werde in Zukunft nur noch selber Programme installieren!!

Danke und viele Grüße,
special100

Ok ich glaube Dir mal. Aber wenn ich irgendwas noch finde was auf eine illegale Version hindeutet dann ist Aus die Maus.


Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo Swiss,

danke für Dein Vertrauen! Ich bin viel zu unerfahren, um mir ein gechracktes Programm selbst zu installieren! Tune up habe ich gestern per Systemsteuerung gelöscht. War das richtig? D

Nachstehend die beiden Logfiles von OTL. Ich werde gleich noch einmal einen kompletten Scan per Malwarebytes durchführen. Die neue Java Version habe ich ja schon nach Deinen Anweisungen installiert. Bin gespannt, was Du heraus bekommst!

Viele Grüße
special100


-------------------

Hallo Swiss,

Malwarebytes hat den Trojaner wieder gefunden. Anbei das Logfile. Ich habe den Trojaner noch nicht gelöscht, sondern nur in Quarantäne verschoben. Was nun?

Gruß
special100

-------------------------------------------

Das ist nur in der Systemwiederherstellung.

Schritt 1

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 2

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Schritt 3

Wie läuft die Kiste?

Guten Abend Swiss,

habe den Scan mit ESET durchgeführt. Nachstehend folgendes Logfile.

Mit Kaspersky habe ich folgendes Problem:

The program could not be started.The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab.



[ERROR: java.lang.RuntimeException: Kaspersky Online Scanner 7.0 cannot be started because this computer has Kaspersky Internet Security 8.0 (9.0) installed.]

Den Kaspersky Schutz habe ich wie in der Anleitung beschrieben deaktiviert. Was nun?

-------------------------------------------------

Schön das Du mir weiter behilflich bist !

Viele Grüße
special100

----------------------------------------

Dann schauen wir halt was Panda meint :)

• Panda
• Panda (ohne Registrierung)
  • Unterstützte Betriebssysteme: Windows 2000/XP (32- und 64-Bit)/Vista (32 und 64-Bit)
  • Voraussetzung: Internet Explorer 5.01 oder höher
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Du musst Dich registrieren - Newsletter abhaken!
  • Kompletter Scan anhaken und auf den grünen Button "Jetzt scannen" klicken.
    • Bei Nutzung über Mozilla Firefox:
    • ActiveScan 2.0 heruntergeladen.
    • ActiveScan 2.0 installieren.
    • Scan starten.
    • Bei Nutzung über Internet Explorer:
    • ActiveX-Steuerelemente erlauben.
    • ActiveX-Steuerelement installieren lassen,
    • die Signaturen werden heruntergeladen, ebenfalls installieren lassen.
    • Der Scan startet automatisch.
  • Am Ende des Scans die Funde über den Link "Anzeigen" einblenden lassen, kopieren und hier posten.
  • Das ist wichtig, denn Panda entfernt die Funde nur in der kostenpflichtigen Version.
  • Der Helfer vom Forum wird Dir helfen, die Funde zu entfernen.
  • 
    http://www.hijackthis-forum.de/attac...5&d=1211975179
  • Im Fall von Problemen bitte zunächst die FAQ lesen.
  • Deinstallation:
  • Das Programm wird nach C:\Programme\PandaSecurity\ActiveScan 2.0 installiert.
  • Das Programm über Systemsteuerung => Software (Panda ActiveScan) deinstallieren.

Hallo Swiss,

der Scan mit Panda hat geklappt. Nachstehend das Ergebnis:

Dann habe ich noch eine Frage an Dich. Gestern habe ich für den ESET Scan den Kaspersky Schutz deaktiviert. Dabei öffnete sich ein Fenster wo folgendes Stand:Kaspersky trennt 14 Netzwerkverbindungen. Sind Sie damit einverstanden?
Ich habe dann ein wenig gegoogelt und habe mir die aktiven Netzwerkverbindungen anzeigen lassen. Hier ein kleiner Auszug davon:

TCP name-477e34910b:2310 localhost:1110 HERGESTELLT
TCP name-477e34910b:2312 localhost:1110 HERGESTELLT
TCP name-477e34910b:2268 mu-in-f102.1e100.net:http HERGESTELLT
TCP name-477e34910b:2270 mu-in-f101.1e100.net:https HERGESTELLT
TCP name-477e34910b:2298 api-10-01-snc2.facebook.com:http HERGESTELLT
TCP name-477e34910b:2300 www-13-01-ash2.facebook.com:http HERGESTELLT
TCP name-477e34910b:2302 www-13-01-ash2.facebook.com:http WARTEND
TCP name-477e34910b:2304 80.157.150.56:http HERGESTELLT
u.s.w.

Wieso macht sich eine Netzwerkverbindung zu facebook auf? Ich bin auf dieser Seite nie gewesen. Bei Kaspersky kann ich die Firewall einstellen, aber die Netzwerkverbindungen nicht als "nicht vertraulich" ändern! Hat das was mit den Trojanern zu tun?

Danke für Deine Unterstützung und viele Grüße
special100

Hilfe in mehreren Foren gleichzeitig suchen?

Es gibt immer wieder Fälle, wo wir darauf stoßen, dass User in mehreren Foren gleichzeitig nach Hilfe suchen. Es ist verständlich, dass Du Dein Problem so schnell wie möglich aus der Welt schaffen möchtest, dennoch ist es kontraproduktiv gleich mehrere Foren mit Deinem Problem zu beschäftigen.

• Wir nennen das Crossposting und sehen das aus folgenden Gründen nicht gerne:
  • Mehrere Teams beschäftigen sich mit dem gleichen Problem, was vergeudete Zeit der freiwilligen Helfer ist, die anderen Usern mit Problemen zugute kommen könnte.
  • Wir Helfer machen das in unserer Freizeit und sind natürlich verärgert, wenn wir Stunden aufwenden, um Dein System zu analysieren und dann sehen, dass das Problem bereits in Arbeit ist.
  • Kann es zu Problemen mit Deinem Rechner kommen, weil unterschiedliche Helfer unterschiedliche Methoden anwenden, um das Problem zu lösen. Manche Tools sind sehr speziell und vertragen sich unter Umständen nicht mit anderen Tools. Wenn der Helfer nun nicht weiß, dass ein bestimmtes Tool angewendet wurde, und dann das damit unverträgliche anwendet, kann Dein System zusammenbrechen.
  • Da Dir im Trojaner-Board schon geholfen wird, mache ich hier dann mal zu.
• Obige Gründe können dazu führen, dass wir eine weitere Bearbeitung Deines Threads ablehnen.

Sorry ! Wie schon gesagt, habe ich nicht mit Absicht gemacht.:(

Also dann gib im anderen forum Bescheid dass du hier weiter machst.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hallo Swiss,

ich Dummerchen weiß nun wieder nicht weiter! Wenn ich Software installiere, gehen die Programme automatisch in meinem Downloadordner. Wenn ich die Datei dann öffne, wird mir ein Fenster mit einen Ablehnungshinweis geöffnet.
Ich zitiere:
Die folgenden Seiten sind in keinster Weise mit Combofix verbunden:
www.combofixdownload.biz
www.combofix.org
www.combofixdownload....
Die Software wird als (im Istzustand) zur Verfügung gestellt, ohne jedliche Garantie. .. Solltest Du den o.g. Bedingungen nicht zustimmen, klicke auf NEIN.

Soll ich jetzt zustimmen?

Du musts due Dtaeu zuerst auf den Desktop kopieren. Eigene Dateien --> Downloads und dort Combo-Fix auf den Desktop ziehen. Dann dort doppelklick. Und wenn dann die obere Meldung kommt kannst Du zustimmen ;)

Hallo Swiss,

geschafft! :daumenhoc

Habe die Datei über den Internet Explorer gespeichert. Das ging ohne Probleme.

Hier das Logfile:

Meiner Meinung nach, ist der Computer nun schneller, bin mir aber nicht wirklich sicher !!!

Gruß
special100

PS:
Habe mir gerade die Logdatei angeschaut. Dort wird auch Tune up genannt.
Nur zur Sicherheit: Ich habe 100% das Programm per Systemsteuerung - Software deinstalliert !!

Gruß Swiss

Schritt 1

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   ---

   RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

   ---

2. Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
   .
   http://i94.photobucket.com/albums/l8...Script_ani.gif
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
   Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
   Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 2

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

So gib mal nen Zwischenbericht :)

Hallo Swiss,

wieder mal geschafft! Da bei mir aber alles kompliziert ist, habe ich Dir zwei Logfiles von Combo Fix aufgelistet. Beim ersten Scan hat Combo Fix mich nach einen Update gefragt. Beim zweiten hat er sofort mit dem Scan angefangen.

Hier die beiden Resultate:

Scan 1:

------------------------------------------------------------------------

Scan 2 :

Werde gleich noch den OTL Scan durchführen!

Bis nachher,
special100

Hallo Swiss,

Hier die beiden Logfiles von OTL. Im Moment habe ich das Gefühl, der Computer wird immer langsamer!

-------------------------------

Schritt 1

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Guten Abend Swiss,

hier der erste Scan von OTL. Der Computer ist wesentlich schneller geworden!:daumenhoc

Viele Grüße
special100

Hier der 2. Scan. Ich fasse es nicht! Ich kenne den Computer nicht mehr wieder. Er ist bestimmt doppelt so schnell geworden!! Außerdem ist die Startseite verschwunden, die ich damals mit Tune up erstellt habe.

------------
SUPER - DANKE :abklatsch:

Das tönt doch gut :)

Also lass nochmals sehen:

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo Swiss,

habe ein Problem mit der Anmeldung. Jetzt öffnet sich nicht mehr die Startseite mit den Benutzern, sondern das Windows Anmeldungsfenster und fordert ein Passwort. Kann man die Einstellung wieder so ändern, das man beim Starten die verschiedenen Benutzer sieht?? Außerdem ist der Computer gerade beim ersten Hochfahren abgestürzt. Ansonsten ist alles OKAY! :huepp:

Hier die OTL Ergebnisse:

--------------

Ich wünsche Dir einen schönen Abend und sende Dir schöne Grüße,
special100

Hallo Swiss,

auch heute ist der Computer beim ersten mal hochfahren wieder abgestürzt.
Nach der Festplattenüberprüfung hat dann alles wieder geklappt. Ansonsten läuft er 1a und wesenlich schneller wie vorher.

Gruß
special100

Schau einmal unter Start --> Systemsteuerung --> Benutzerkonten: Art der Benutzeranmeldung.
Dort solltes du es einstellen können.

Hi Swiss,

danke für die Antwort! Habe es schon in Systemsteuerung -
Benutzerkonto versucht, hat aber nicht geklappt! Was ist mit dem Trojaner? Reicht Dir der letzte OTL Scan?

Schöne Grüße - special 100

Ja hast Du denn noch problem ausser wegen der Anmeldung?

Nicht das ich Dir damit auf den Wecker gehe! Also, wenn ich den Computer anmelde, dauert es unwahrscheinlich lange, bis er alle Anwendungen geöffnet hat. Firefox zu öffnen dauert dann ca. 2-3 Minuten. Im Internet ist er dafür wesentlich schneller geworden. Dann habe ich immer noch das Gefühl, dass der Computer im Hintergrund arbeitet (leises rattern). Und dann sind immer noch die Abstürze beim Anmelden. Damit hatte ich eingendlich noch nie Probleme.
Und kann ich jetzt wieder gefahrlos Online Banking machen? Siehst Du, eine Menge Fragen. Ich bin halt wirklich nicht der Computerfreak!:blabla:

LG
special100

Hallo Swiss,

ich möchte mich noch einmal recht herzlich für Deine Unterstützung bedanken.
Auch dass Du über meine kleinen Dummheiten hinweg gesehen und mir weiter geholfen hast!

:dankeschoen:

Ich habe gestern meinen Computer mit der neuen Version von Tune up optimiert. Seitdem läuft er sowas von 1a, dass ich es nicht glauben kann.

Alles Gute und viele Grüße
special100

Das mit TuneUp ist Dir überlassen. Aber das hat sicher auch Dein System zuvor verschossen.

Sind dann die Abstürze beim Anmelden noch da?

Hallo Swiss,

nein, seitdem ich mit Tune up optimiert habe und auch jetzt wieder auf meine Benutzerkonten zurückgreifen kann, ist alles in bester Ordnung.

Ich habe mich ein wenig im Forum über Sicherheit informiert. Ich habe mir NoScript und die Sandboxie heruntergeladen. Außerdem surfe ich nur noch ohne Administratorrechte. Ist das eine gute Entscheidung, oder hast Du noch andere Tipps für mich parat?

Danke für alles und viele Grüße
special100
:abklatsch:

Nein das ist sogar sehr gut :)
Hier noch einige Infos:

Nachsorge

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra :).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).

• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.

Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Weitere Maßnahmen

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe unsere Anleitung. Bei http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java (Sun)[/URL] immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
  Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
  Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.

Hi Swiss,

danke, ich werde daran arbeiten!

Ich wünsche Dir alles Gute und vielen Dank für alles!

special100