Trojaner-Board - AntiSpy Safeguard am Rechner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AntiSpy Safeguard am Rechner (https://www.trojaner-board.de/91328-antispy-safeguard-rechner.html)

AntiSpy Safeguard am Rechner

Hallo zusammen,

als Erstes möchte ich mich mal bei euch für die tolle FAQ bedanken, dank dieser war es mir möglich meinen Rechner nach der "Infektion" mit AntiSpy Safeguard überhaupt wieder einigermaßen normal hoch zu fahren. Nach dem ich jetzt einige Male in den verschiedensten Situationen (Windows Safe Mode, normalem Windows Start und mit OTHelper) mit Anti Malewarebytes Anti-Maleware gescannt habe ist "nur" noch der im Log angegebene Rootkit übrig geblieben. Leider ist dieser allerdings auch nach mehreren Durchgängen immer noch vorhanden.

Hier nun das Anti Malewarlog und die OTL Log Datein vom letzten Scan:
http://www.trojaner-board.de/attachm...1&d=1285866803

Es fällt nach wie vor auf, dass Hoch- und Runterfahren länger dauert als vor der "Infektion". Ich bekomme auch hin und wieder die Fehlermeldung: "Host Process for Windows Services stopped working and was closed"

Begonnen hat das ganze übrigens mit mehreren gefundenen Trojanern durch Avira Antivir. Dies hier wurde gefunden:

Exportierte Ereignisse:

29.09.2010 06:18 [Scanner] Malware gefunden
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Content.IE5\ATU1L7SO\ofmupwryg[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d0fbe8f.qua'
verschoben!

29.09.2010 06:18 [Scanner] Malware gefunden
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Content.IE5\QQ41J1F7\neipnvqx[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d0bbe8e.qua'
verschoben!

29.09.2010 06:18 [Scanner] Malware gefunden
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Content.IE5\0TZ42IOF\hytniqkszx[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'TR/Bflient.L' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d16bea2.qua'
verschoben!

29.09.2010 06:18 [Scanner] Malware gefunden
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Content.IE5\0TZ42IOF\lpkez[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted'
[heuristic].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d0dbe99.qua'
verschoben!

29.09.2010 06:18 [Scanner] Malware gefunden
Die Datei 'C:\Users\***\AppData\Local\Temp\veusll.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d17be8e.qua'
verschoben!

Davon ist allerdings wie oben schon genannt zum Glück nichts mehr zu finden.

Ich hoffe ich hab nichts vergessen und bedanke mich schon mal für eure Bemühungen!

LG MJ

Sind da noch mehr Logs von Malwarebytes? Bitte alle davon posten!

Guten Abend,

Danke für die schnelle Antwort! Hier sind sämtliche Log Datein für alle Scans die ich durchgeführt habe. Hab in meiner Panik vielleicht ein bisschen oft gescannt, aber vielleicht hilft es was.

Gruß MJ

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O33 - MountPoints2\{1bf7e5ca-6f06-11dd-9221-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe -- File not found

O33 - MountPoints2\{60111ad2-38bf-11de-8e5d-001d60b45a26}\Shell\AutoRun\command - "" = J:\setup.exe -- File not found

[2010.09.29 18:35:16 | 000,729,600 | ---- | C] (pdvabgmsvt Corporation) -- C:\Windows\System32\dlo9DE3.dll

[2010.09.30 18:34:01 | 000,842,240 | ---- | M] () -- C:\Windows\System32\drivers\skree.sys

[2010.09.28 23:27:27 | 000,000,131 | ---- | M] () -- C:\Users\***\AppData\Roaming\jsdfgs.bat

[2010.09.29 18:35:16 | 000,729,600 | ---- | M] (pdvabgmsvt Corporation) -- C:\Windows\System32\dlo9DE3.dll

[2010.09.17 23:44:49 | 000,208,384 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.09.29 23:17:27 | 000,003,766 | ---- | C] () -- C:\Users\***\AppData\Local\AE948A3D-412A-4F68-986D-5F21D62B26AA.txt

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Cosinus,

danke für deine Hilfe, leider musste ich den Rechner jetzt doch formatieren. Grund: mein Internetanbieter hat mir den Anschluss gesperrt, da haufenweise Spam-Mails versendet worden sind. Freigabe gabs erst wieder nachdem die Sache "bereinigt" war. Da auch immer mehr Windows Fehlermeldungen aufgetreten sind war es warscheinlich ohnehin der sicherste Weg um die Sache zu bereinigen. Den Rechner werde ich im laufe des Wochenendes neu aufsetzen (und dabei ein Auge auf euere Sicherheits Tips haben). Ist es sinnvoll/notwendig noch mal logs zu posten wenn ich fertig bin, oder sollte die Sache damit definitiv erledigt sein?

Auf jeden Fall noch mal Danke!

Gruß MJ

Besser jetzt formatieren, als nach Tagen und/oder etlichen Postings der Bereinigung ;)
Wenn Du formatierst überlebt das kein Schädling.