Trojaner-Board - Kann Security Tool trotz Anleitung nicht entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kann Security Tool trotz Anleitung nicht entfernen (https://www.trojaner-board.de/92142-security-tool-trotz-anleitung-entfernen.html)

Kann Security Tool trotz Anleitung nicht entfernen

Hallo,
Ich hoffe ihr könnt mir helfen.
Hab mir heute den Trojaner "Security Tool" eingefangen.
Habe mich natürlich informiert und hier im Forum eine Anleitung gefunden, wie ich den wieder wegbekomme.
Als letzte Möglichkeit war den "OTHelper" runterzuladen.
Tja, mein Problem ist nun, dass ich auch den OTH (auch wenn ich ihn umbenenne) nicht ausführen kann.
Also: was nun?

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Schritt 2

Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

Schritt 3

Rkill anwenden

Download rkill.com auf den Desktop Desktop.
Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“.
Bitte poste mir das Logfile.

Schritt 4

Downloade Malwarebytes Anti-Malware (ca. 2 MB) von diesen Downloadspiegel:

Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
Aktiviere "Komplett Scan durchführen" => Scan.
Wähle alle verfügbaren Laufwerke aus und starte den Scan.
Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

Hallo,
Vielen Dank für deine Antwort.
Das Malwarebites-Programm geht bei mir eben nicht.
Hatte es ja schon mit der Anleitung vom Forum hier Versucht.
Aber das Security-Tool lässt das Programm nicht öffnen.
Habe es auch so Versucht, wie es in der Anleitung steht, also auch umbenennt...
Was kann ich dann machen?

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.
Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?
Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Hallo,
Danke nochmal für deine Mühe =)
Das Security Tool lässt mich das OTL auch nicht öffnen.
Da kommt: dllHost.exe ist durch... infitziert.
Habe das OTL gleich beim ersten mal in "OTLll" umbenennt.

Hast Du Malwarebytes auch im abgesicherten Modus probiert?

Nein, habe es nach dieser Anleitung gemacht: http://www.trojaner-board.de/81432-s...entfernen.html
Soll ich es nochmal im abgesicherten Modus versuchen?
Wenn ja, nach welcher Anleitung?

Genau. Gehe in den abgesicherten Modus und starte als Administrator.

Nun lade Dir TFC runter und speichere ihn auf dem Desktop.
Falls Du noch nicht Deine Arbeit/offene Files gespeichert hast, jetzt durchführen, alle anderen
Anwendungen schließen (sonst übernimmt TFC das inklusive Browser, speichert aber nicht!)
Start jetzt die TFC.exe (Vista/Win7-User als Admin starten! [Rechtsklick und "Als Administrator ausführen"]).
Beginne mit der Bereinigung durch "Start", nicht unterbrechen. TFC wird Dich auffordern den
Rechner neu zu starten, das sofort machen.

Dann gehe erneut in den abgesicherten Modus und führe Malwarebytes aus.

Danke nochmal :D

Zitat:

Gehe in den abgesicherten Modus und starte als Administrator.

Ehm, was als Admin starten?
Den PC?
Und wenn ich fragen darf: Wie genau speichere ich meine Arbeit/meine offenen Files?

Zitat:

Dann gehe erneut in den abgesicherten Modus und führe Malwarebytes aus.

Einfach so, wie hier: http://www.trojaner-board.de/51187-a...i-malware.html beschrieben, oder?
sry, kenn mich nich so wirklich mit PCs aus :stirn:

Hast Du AdministratorRechte? Oder ist es ein Benutzerkonto mit eingeschränkten Rechten?

Uff, ehrlich gesagt: Keine Ahnung.
Wie find ich das denn raus?

Gehört der PC Dir und hast Du beim Systemstart eine Auswahl von Benutzerkonten? Welches Betriebssytem hast Du?

Achso.
Ja das ist mein PC und da is auch nur ein Benutzerkonto drauf.
Ich hab Windows 7

Also dann mach es genau so:

Schritt 1

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Schritt 2

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Bei einer erscheinenden Meldung klicke auf Ja und danach auf Exit.

Schritt 3

Mach diesen Schritt ebenfalls im abgesicherten Modus:

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.

WICHITG: Mache Rechtsklick auf die Datei und wähle "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo!
Vielen Dank!
Bis jetzt hat es geholfen, ich bekomm keine Meldung mehr vom Security Tool. :Boogie:
Hier das Logfile:

Code:

alwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4942
 

Windows 6.1.7600 (Safe Mode)

Internet Explorer 8.0.7600.16385
 

25.10.2010 14:43:43

mbam-log-2010-10-25 (14-43-43).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 136665

Laufzeit: 4 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\581014422 (Rogue.SecurityTool) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Users\Lena\AppData\Local\581014422.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Users\Lena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.