Nach (angeblicher) Beseitigung von cycbot.b Probleme mit dem Internet
 

Hallo zusammen, vor 2 Tagen hat sich auf einmal der Windows Defendet gemeldet und mich auf den Trojaner win32/cycbot.b hingewiesen. Ich nutze Windows Vista 64bit SP2. Da der Defender nicht dazu in der Lage war, das Problem zu lösen, hab ich Malwarebytes aktualisiert und es damit versucht. Malwarebytes hat das Problem erkannt, gelöst und danach den PC neugestartet, um die boot.ini zu bereinigen. Hab danach zur Sicherheit nochmal AntiVir und Malwarebytes laufen lassen, wobei jedoch keine Schädlinge mehr gefunden wurden. Allerdings streikte beim Versuch, eine Internetseite zuladen der jeweilige Explorer und verwies auf einen Proxyserver, der geblock würde. Ich bin mir allerdings ziemlich sicher, bis dahin nie über einen Proxy Sever ins Netz gegangen zu sein, habe also folglich über Firefox/Extras/Einstellungen/Erweitert/Netzwerk/Einstellungen "Kein Proxy" ausgewählt und siehe da, das Internet war mir nicht mehr verschlossen. Allerdings streikt seit dem Moment die Windows Sidebar sowie das Autoupdate von AntiVir. Da dies (glücklicherweise) mein erster Kontakt mit Viren ist, traue ich dem ganzen Braten daher noch nicht so recht, mache zum Beispiel derzeit kein Online-Banking. Hätte gerne eine Gewissheit, dass mein System wieder sauber ist und bestenfalls noch ne Lösung für das andere Problem.

Habe, wie im Forum beschrieben, OTL laufen und zwei Logs erstellen lassen.

Vielen Dank im voraus!

Wo sind die Logs von malwarebytes?

Hab ich vergessen, hier bitte:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hab jetzt noch 2 komplette Suchläufe laufen lassen. Beim Ersten hat er was ausfindig gemacht, nach dem Bereinigen dann nicht mehr. Sidebar und (viel wichtiger!!!) AntiVir Update streiken leider immer noch.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hab ich gemacht, hier der Log:

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hab beides erstellt, allerdings konnte ich beim GMER rechts in der Kontrollleiste nur Services, Registry und Files anklicken, alles andere war versperrt. Bei MBR Check hatte er wohl was an der externen Festplatte auszusetzen, aber damit kennst du dich wohl besser aus.

Hier die Logs:

Bei der ext. Platte sollte das so ok sein. Von der bootet man nicht oder bootest du doch von ihr? Wohl kaum :D

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ich kann SUPERAntiSpyware leider nicht updaten, obwohl ich die entsprechenden Executables in der Windows Firewall freigegeben hab. Beim Versuch kommt immer der Fehler: "There was an error trying to retrieve definitions. Make sure your Firewall is not blocking SUPERANTISPYWARE.EXE from accessing the Internet." Ob das wohlmöglich das gleiche Problem wie beim AntiVir Update ist?! Seltsam, Malwarebytes lässt sich nämlich problemlos erneuern.

Hm, merkwürdig. Könnt sein, dass da ein Bootkit noch irgendwie schlummert.
Probier mal den hier von kaspersky => http://www.trojaner-board.de/82358-t...entfernen.html
Ist auch mit deinem 64-Bit-Windows kompatibel :)

Seeeehr merkwürdig, der TDSS Killer hat beim Suchlauf einen Prozess gefunden, den ich dann in die Quarantäne verschoben hab. Nach dem Reboot haben die Internet Gadgets der Sidebar ganz kurz funktioniert, ehe sie wieder "Der Dienst ist nicht verfügbar." angezeigt haben. Der TDSS Killer zeigt die eben in Quarantäne verschobene Datei wieder an, wenn ich ihn suchen lasse. AntiVir Update funktioniert demenstsprechend immer noch nicht, genau wie SUPERAntiSpyware.

Hier der letzte Log:

Die Datei ist ok. Das ist der sog. SPTD-Treiber, der zB auch von den Daemon-Tools genutzt wird, braucht man wenn man virtuelle DVD-Laufwerke haben möchte, harmlos :)

Wir können mal auf Verdacht den MBR neu schreiben wenn du willst. Geht ohne Datenverlust. Sag ja und ich poste dir ne Anleitung :daumenhoc

Klar gerne, ich bin dankbar für jede Hilfe! Wieso die Sidebar nach dem Booten kurzzeitig funktioniert hat, gibt dir also auch Rätsel auf?!

Vorsicht, Standardtext, hat sich aber bewährt ;)

Hast Du noch andere Betriebssysteme außer Vista installiert?

Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Nein, hab nur das OS drauf. Aber sorry, wenn ich so blöd frage, das verlinkte Image ist für die 32bit Version, funktioniert es auch mit meiner 64bit Version?

Edit: Sorry, habs mir schon beantwortet. Auf der Seite gibts unten auch ein 64bit Image.

Ja, genau, sry, hätte den Link anpassen müssen - Asche auf mein Haupt :stirn: :blabla:

Sooo....hab ich gemacht, was hätte das jetzt bringen sollen?!

Damit ist auf jeden Fall der Bootcode glattgezogen worden. Egal ob er schon glatt war oder nicht, jetzt ist er glätter als glatt (hoffentlich!!) :D
Wenns immer noch nicht geht, muss das Nichtfunktionieren der Updates eine andere Ursache haben, die ich so natürlich nicht weiß :mad:

Mh...okay, trotzdem vielen Dank für die Mühe!!!

Also geht es immer noch nicht? :wtf:

Ne, aber ich hab heute das System komplett neu aufgesetzt. Jetzt funktioniert wieder alles so, wie es soll. Vielen, vielen Dank nochmal für die ganze Mühe!