Trojaner-Board - Trojaner blockiert Normalmodus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner blockiert Normalmodus (https://www.trojaner-board.de/89716-trojaner-blockiert-normalmodus.html)

Trojaner blockiert Normalmodus

Liebe Experten,

um sich im Stillen Kämmerchen unbekleidete Damen anzusehen braucht man praktisch nichts zu können...
Dass aus einer solch einseitigen, virtuellen "Beziehung" Probleme wie im echten Leben resultieren - die Erfahrung habe ich gemacht, war mir eine Lehre, und kann diese alleine nicht lösen.

Mein PC "spinnt".
Euer Board war mir eine Hilfe. Super Anleitungen. Danke!
Ich bin fast stolz darauf, es geschafft zu haben, im abgesicherten Modus "online" zu sein (Häkchen bei Proxy-Einstellung entfernt).

MALWAREBYTES (mit Aktualisierung) fand viele Schädlinge, hat diese entfernt.
Zeigte danach nichts mehr an.

Dennoch bestehen im Normalmodus Probleme, verursacht vermutlich durch die AV SECURITY SUITE.
Im Normalmodus werden Browser und Funktionen sabotiert...

AVIRA Anitvir Personal:

TR/CryptXPACK.Gen
TR/Spy.507392.6

SPYBOT search & destroy: ebenso.

RKILL gibt an:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as instructor on 18.08.2010 at 23:43:53.

Processes terminated by Rkill or while it was running:

C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\Dokumente und Einstellungen\instructor\Desktop\iExplorer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\imapi.exe

Rkill completed on 18.08.2010 at 23:44:00.

Anbei das Logfile von HIJACKTHIS.

Könnt Ihr mir bitte helfen?
Ich werde auch nie wieder einen Witz über IT-Freaks machen...
Das Haupt in Asche, in Hoffnung auf Hilfe.

LG, BT

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:30:37, on 18.08.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Safe mode with network support
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Firefox\plugin-container.exe

C:\Dokumente und Einstellungen\instructor\Eigene Dateien\Downloads\HiJackThis204.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [bghdvyqn] C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Kuyt76GNT] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [borobororb.exe] C:\borobororb.exe\borobororb.exe

O4 - HKCU\..\Run: [bghdvyqn] C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [cleansweep.exe] C:\cleansweep.exe\cleansweep.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [borobororb.exe] C:\borobororb.exe\borobororb.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC4D9613-85BB-42E7-9558-40A2A6913C54}: NameServer = 62.96.71.126

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
 

--

End of file - 7421 bytes

--- --- ---

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
Tipp - ins Internet zu gelangen und kannst auch von dort die Schritte durchführen:
- Gehe in den abgesicherten Modus
- Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast:
- wähle hier: "Abgesicherter Modus mit Netzwerktreibern"

2.
Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:
Windows ME,XP, Vista und Win7 enthält ein Programm zur Systemwiederherstellung (Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus auch tun
berichte ob du damit Erfolg hast
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)
► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

3.
**Spybot Tea Timer bitte abstellen!
Modus-> Erweiterte Modus-> Ja-> Werkzeuge-> Resident-> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) -> exit.

4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code:

C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe

C:\borobororb.exe\borobororb.exe

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code:

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)

Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.73        2009.01.28        -

AhnLab-V3        5.0.0.2        2009.01.28        -

AntiVir        7.9.0.60        2009.01.28        -

Authentium        5.1.0.4        2009.01.27        -
 

...über 40 Virenscannern...also Geduld!!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Lieber Coverflo,

Vielen Dank für Deine kompetente und superschnelle Antwort.
Ich habe mich an Deine Anweisungen gehalten (Teatimer abgestellt).

Virustotal gibt an:

Code:

File name: dwebmaeshdw.exe

Submission date: 2010-08-19 09:17:44 (UTC)

Current status: queued (#2) queued analysing finished
 
 

Result: 11/ 40 (27.5%)

 VT Community
 

not reviewed

 Safety score: -  
 

Compact Print results 

Antivirus Version Last Update Result 

AhnLab-V3 2010.08.19.00 2010.08.18 Dropper/Win32.FrauDrop 

AntiVir 8.2.4.38 2010.08.19 - 

Antiy-AVL 2.0.3.7 2010.08.16 - 

Authentium 5.2.0.5 2010.08.19 - 

Avast 4.8.1351.0 2010.08.18 - 

Avast5 5.0.332.0 2010.08.18 - 

AVG 9.0.0.851 2010.08.19 - 

BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27436 

CAT-QuickHeal 11.00 2010.08.19 - 

ClamAV 0.96.2.0-git 2010.08.19 - 

Comodo 5784 2010.08.18 - 

DrWeb 5.0.2.03300 2010.08.19 - 

Emsisoft 5.0.0.37 2010.08.18 - 

eTrust-Vet 36.1.7800 2010.08.19 - 

F-Prot 4.6.1.107 2010.08.18 - 

F-Secure 9.0.15370.0 2010.08.19 Trojan.Generic.KD.27436 

Fortinet 4.1.143.0 2010.08.19 - 

GData 21 2010.08.19 Trojan.Generic.KD.27436 

Ikarus T3.1.1.88.0 2010.08.18 - 

Jiangmin 13.0.900 2010.08.19 - 

Kaspersky 7.0.0.125 2010.08.19 Trojan-Dropper.Win32.FrauDrop.bax 

McAfee 5.400.0.1158 2010.08.19 Artemis!BDA0B6E794F0 

Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JM 

NOD32 5378 2010.08.19 a variant of Win32/Kryptik.GDI 

Norman 6.05.11 2010.08.18 - 

nProtect 2010-08-19.01 2010.08.19 Trojan.Generic.KD.27436 

Panda 10.0.2.7 2010.08.19 - 

PCTools 7.0.3.5 2010.08.19 - 

Prevx 3.0 2010.08.19 High Risk Cloaked Malware 

Rising 22.61.03.03 2010.08.19 - 

Sophos 4.56.0 2010.08.19 - 

Sunbelt 6759 2010.08.19 Trojan.Win32.Generic.pak!cobra 

SUPERAntiSpyware 4.40.0.1006 2010.08.19 - 

Symantec 20101.1.1.7 2010.08.19 - 

TheHacker 6.5.2.1.351 2010.08.19 - 

TrendMicro 9.120.0.1004 2010.08.19 - 

TrendMicro-HouseCall 9.120.0.1004 2010.08.19 - 

VBA32 3.12.14.0 2010.08.19 - 

ViRobot 2010.8.16.3990 2010.08.19 - 

VirusBuster 5.0.27.0 2010.08.18 - 

Additional informationShow all  

MD5   : bda0b6e794f0a27ba791ce28c406dd09 

SHA1  : 262f0e023a43c9270b1da65b9b424675fc8284ed 

SHA256: cfa51bfe0d8666edda884ca9b8c4be93eb3d5c10faefbd00328e13bd949c9dfd 
 
 

Und zu "borobororb.exe"
 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 

File name: borobororb.exe

Submission date: 2010-08-19 09:22:49 (UTC)

Current status: queued (#3) queued (#3) analysing finished
 
 

Result: 14/ 42 (33.3%)

 VT Community
 

not reviewed

 Safety score: -  
 

Compact Print results 

Antivirus Version Last Update Result 

AhnLab-V3 2010.08.19.00 2010.08.18 - 

AntiVir 8.2.4.38 2010.08.19 - 

Antiy-AVL 2.0.3.7 2010.08.16 - 

Authentium 5.2.0.5 2010.08.19 - 

Avast 4.8.1351.0 2010.08.18 Win32:MalOb-BY 

Avast5 5.0.332.0 2010.08.18 Win32:MalOb-BY 

AVG 9.0.0.851 2010.08.19 - 

BitDefender 7.2 2010.08.19 - 

CAT-QuickHeal 11.00 2010.08.19 - 

ClamAV 0.96.2.0-git 2010.08.19 - 

Comodo 5784 2010.08.18 TrojWare.Win32.Trojan.Agent.Gen 

DrWeb 5.0.2.03300 2010.08.19 - 

Emsisoft 5.0.0.37 2010.08.18 - 

eSafe 7.0.17.0 2010.08.17 - 

eTrust-Vet 36.1.7800 2010.08.19 - 

F-Prot 4.6.1.107 2010.08.18 - 

F-Secure 9.0.15370.0 2010.08.19 - 

Fortinet 4.1.143.0 2010.08.19 - 

GData 21 2010.08.19 Win32:MalOb-BY  

Ikarus T3.1.1.88.0 2010.08.18 - 

Jiangmin 13.0.900 2010.08.19 - 

Kaspersky 7.0.0.125 2010.08.19 - 

McAfee 5.400.0.1158 2010.08.19 Artemis!177B65DC7790 

McAfee-GW-Edition 2010.1B 2010.08.19 Heuristic.BehavesLike.Win32.Suspicious.D 

Microsoft 1.6004 2010.08.19 Trojan:Win32/Meredrop 

NOD32 5378 2010.08.19 a variant of Win32/Kryptik.FUB 

Norman 6.05.11 2010.08.18 - 

nProtect 2010-08-19.01 2010.08.19 - 

Panda 10.0.2.7 2010.08.19 Trj/CI.A 

PCTools 7.0.3.5 2010.08.19 - 

Prevx 3.0 2010.08.19 High Risk Fraudulent Security Program 

Rising 22.61.03.03 2010.08.19 - 

Sophos 4.56.0 2010.08.19 Mal/Zbot-U 

Sunbelt 6759 2010.08.19 - 

SUPERAntiSpyware 4.40.0.1006 2010.08.19 Trojan.Agent/Gen-CSR[Fire] 

Symantec 20101.1.1.7 2010.08.19 - 

TheHacker 6.5.2.1.351 2010.08.19 - 

TrendMicro 9.120.0.1004 2010.08.19 Cryp_Zbot 

TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_MEREDROP.YH 

VBA32 3.12.14.0 2010.08.19 - 

ViRobot 2010.8.16.3990 2010.08.19 - 

VirusBuster 5.0.27.0 2010.08.18 - 

Additional informationShow all  

MD5   : 177b65dc7790b8e9159c7a57357dd35e 

SHA1  : 12f7b5a9878243a81162ec1789724b82cee38099 

SHA256: f8b7981853a9095d1dc6dc6d7c2a1ec0c9a81379c8ca6f1d1d587eed5efd0229

Ich danke Dir schon mal für Deinen Rat zur weiteren Verfahrensweise...

Herzlich,
BT

hi

Unter Punkt 2. :-> - Post #2 - ist Dir nicht gelungen die Systemzeitpunkt zurückstellen?-> http://www.trojaner-board.de/89716-t...tml#post557348

- Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch:

Datei Upload

Klicke bitte auf diesen Link UploadMalware.com

Gib im obersten Feld deinen Namen ein
Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/89716-t...rmalmodus.html)
Lade dann diese Datei von deinem Rechner hoch:

C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\borobororb.exe\borobororb.exe

Gib im Kommentarfeld Folgendes an:
"Unknown file"
diese Information:

Code:

File name: dwebmaeshdw.exe Submission date: 2010-08-19 09:17:44 (UTC) Current status: queued (#2) queued analysing finished Result: 11/ 40 (27.5%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.08.19.00 2010.08.18 Dropper/Win32.FrauDrop AntiVir 8.2.4.38 2010.08.19 - Antiy-AVL 2.0.3.7 2010.08.16 - Authentium 5.2.0.5 2010.08.19 - Avast 4.8.1351.0 2010.08.18 - Avast5 5.0.332.0 2010.08.18 - AVG 9.0.0.851 2010.08.19 - BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27436 CAT-QuickHeal 11.00 2010.08.19 - ClamAV 0.96.2.0-git 2010.08.19 - Comodo 5784 2010.08.18 - DrWeb 5.0.2.03300 2010.08.19 - Emsisoft 5.0.0.37 2010.08.18 - eTrust-Vet 36.1.7800 2010.08.19 - F-Prot 4.6.1.107 2010.08.18 - F-Secure 9.0.15370.0 2010.08.19 Trojan.Generic.KD.27436 Fortinet 4.1.143.0 2010.08.19 - GData 21 2010.08.19 Trojan.Generic.KD.27436 Ikarus T3.1.1.88.0 2010.08.18 - Jiangmin 13.0.900 2010.08.19 - Kaspersky 7.0.0.125 2010.08.19 Trojan-Dropper.Win32.FrauDrop.bax McAfee 5.400.0.1158 2010.08.19 Artemis!BDA0B6E794F0 Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JM NOD32 5378 2010.08.19 a variant of Win32/Kryptik.GDI Norman 6.05.11 2010.08.18 - nProtect 2010-08-19.01 2010.08.19 Trojan.Generic.KD.27436 Panda 10.0.2.7 2010.08.19 - PCTools 7.0.3.5 2010.08.19 - Prevx 3.0 2010.08.19 High Risk Cloaked Malware Rising 22.61.03.03 2010.08.19 - Sophos 4.56.0 2010.08.19 - Sunbelt 6759 2010.08.19 Trojan.Win32.Generic.pak!cobra SUPERAntiSpyware 4.40.0.1006 2010.08.19 - Symantec 20101.1.1.7 2010.08.19 - TheHacker 6.5.2.1.351 2010.08.19 - TrendMicro 9.120.0.1004 2010.08.19 - TrendMicro-HouseCall 9.120.0.1004 2010.08.19 - VBA32 3.12.14.0 2010.08.19 - ViRobot 2010.8.16.3990 2010.08.19 - VirusBuster 5.0.27.0 2010.08.18 - Additional informationShow all MD5 : bda0b6e794f0a27ba791ce28c406dd09 SHA1 : 262f0e023a43c9270b1da65b9b424675fc8284ed SHA256: cfa51bfe0d8666edda884ca9b8c4be93eb3d5c10faefbd00328e13bd949c9dfd Und zu "borobororb.exe" 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. File name: borobororb.exe Submission date: 2010-08-19 09:22:49 (UTC) Current status: queued (#3) queued (#3) analysing finished Result: 14/ 42 (33.3%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.08.19.00 2010.08.18 - AntiVir 8.2.4.38 2010.08.19 - Antiy-AVL 2.0.3.7 2010.08.16 - Authentium 5.2.0.5 2010.08.19 - Avast 4.8.1351.0 2010.08.18 Win32:MalOb-BY Avast5 5.0.332.0 2010.08.18 Win32:MalOb-BY AVG 9.0.0.851 2010.08.19 - BitDefender 7.2 2010.08.19 - CAT-QuickHeal 11.00 2010.08.19 - ClamAV 0.96.2.0-git 2010.08.19 - Comodo 5784 2010.08.18 TrojWare.Win32.Trojan.Agent.Gen DrWeb 5.0.2.03300 2010.08.19 - Emsisoft 5.0.0.37 2010.08.18 - eSafe 7.0.17.0 2010.08.17 - eTrust-Vet 36.1.7800 2010.08.19 - F-Prot 4.6.1.107 2010.08.18 - F-Secure 9.0.15370.0 2010.08.19 - Fortinet 4.1.143.0 2010.08.19 - GData 21 2010.08.19 Win32:MalOb-BY Ikarus T3.1.1.88.0 2010.08.18 - Jiangmin 13.0.900 2010.08.19 - Kaspersky 7.0.0.125 2010.08.19 - McAfee 5.400.0.1158 2010.08.19 Artemis!177B65DC7790 McAfee-GW-Edition 2010.1B 2010.08.19 Heuristic.BehavesLike.Win32.Suspicious.D Microsoft 1.6004 2010.08.19 Trojan:Win32/Meredrop NOD32 5378 2010.08.19 a variant of Win32/Kryptik.FUB Norman 6.05.11 2010.08.18 - nProtect 2010-08-19.01 2010.08.19 - Panda 10.0.2.7 2010.08.19 Trj/CI.A PCTools 7.0.3.5 2010.08.19 - Prevx 3.0 2010.08.19 High Risk Fraudulent Security Program Rising 22.61.03.03 2010.08.19 - Sophos 4.56.0 2010.08.19 Mal/Zbot-U Sunbelt 6759 2010.08.19 - SUPERAntiSpyware 4.40.0.1006 2010.08.19 Trojan.Agent/Gen-CSR[Fire] Symantec 20101.1.1.7 2010.08.19 - TheHacker 6.5.2.1.351 2010.08.19 - TrendMicro 9.120.0.1004 2010.08.19 Cryp_Zbot TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_MEREDROP.YH VBA32 3.12.14.0 2010.08.19 - ViRobot 2010.8.16.3990 2010.08.19 - VirusBuster 5.0.27.0 2010.08.18 - Additional informationShow all MD5 : 177b65dc7790b8e9159c7a57357dd35e SHA1 : 12f7b5a9878243a81162ec1789724b82cee38099 SHA256: f8b7981853a9095d1dc6dc6d7c2a1ec0c9a81379c8ca6f1d1d587eed5efd0229

Drücke nun auf den Button "Send File"

**Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
.

Lieber Coverflow,

danke für Deine rasche Antwort.

Hat geklappt.

Your file (dwebmaeshdw.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

Your file (borobororb.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

Das mit der Systemwiederherstellung hatte ich als Alternative verstanden, und noch nicht durchgeführt. Soweit ich verstanden habe, gehen dabei evtl. installierte Programme (wäre nicht schlimm) verloren, Dokumente und Bilder aber eher nicht? Dann versuche ich das, wenn das die einfachste Lösung ist.

Vielen Dank nochmals für Dein Engagement und Deine Hilfe soweit.

Sonnige Grüße,
BT

Lieber Coverflow,

Systemwiederherstellung: klappt nicht.
Einzig mögliches Datum 18.August 2010 - da war der Trojaner schon drauf.
Andere Wiederherstellungszeitpunkte lassen sich nicht wählen, die Option mit den Pfeilen einen Monat rückwärts gehen geht nicht.

Was nun?

Ergab die Auswertung der hochgeladenen Dateien etwas?

Sonnig & Herzlich und noch immer zuversichtlich,
BT

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
"Stealth Objects" -> "Scan"-> Save Report"...
"Hidden Services" -> "Scan"-> Save Report"...
speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

7.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!