Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ebenfalls "Goingonearth" geschädigt! (https://www.trojaner-board.de/97293-ebenfalls-goingonearth-geschaedigt.html)

Liaron 09.04.2011 22:57
Ebenfalls "Goingonearth" geschädigt!
 
Also, ich hab seit einiger Zeit (schon nen paar Wochen) den Goingonearth drauf. Hab die üblichen Probleme: Redirects von Google-Links im Firefox auf ominöse Websiten (Werbung aller Art die mich stets über goingonearth.com/.. schickt), deaktiviertes Sicherheitscenter von Windows (lässt sich als Dienst zwar neu starten wird aber nach kurzer Zeit wieder deaktiviert..) und dem allgemeinen Verbot das Wort Goingonearth in Google als Suche zu verwenden - habe also mal alle möglichen Tools von denen hier im Bezug mit dem Virus die Rede ist angeschmissen und deren Log-Files in den Anhang geworfen:

Zuerst habe ich Malwarebytes Anti-Malware, gefolgt von GMER und abschließend Oldtimers OTL - das sollte dann hoffentlich genug Info für den Start für euch sein..

Also, helft mir bitte! Dankschön schon mal im voraus! :dankeschoen:

P.S.: Bitte zu beachten das ich alles (Kaspersky - ist aber sowieso nich aktuell) abgeschalten habe aber Sophos Anti-Virus nicht! Ging leider nicht auszuschalten - habe auch keinen passenden Prozess gefunden.. Aso - ich hab Sophos drauf weil mein Kaspersky ausgelaufen ist - muss mir erst ne neue Lizenz beschaffen..

cosinus 10.04.2011 00:27
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Liaron 15.04.2011 17:33
Gut, also hier mal der vollständige Scan von Malwarebytes Anti-Malware..

cosinus 15.04.2011 18:30
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [PWMTRV]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{577d5be1-1cf1-11e0-bcd1-028037ec0200}\Shell - "" = AutoRun
O33 - MountPoints2\{577d5be1-1cf1-11e0-bcd1-028037ec0200}\Shell\AutoRun\command - "" = E:\VTP_Manager.exe
O33 - MountPoints2\{5e7b30ed-0c88-11e0-9464-028037ec0200}\Shell - "" = AutoRun
O33 - MountPoints2\{5e7b30ed-0c88-11e0-9464-028037ec0200}\Shell\AutoRun\command - "" = D:\VTP_Manager.exe
O33 - MountPoints2\{6eb18239-82d5-11df-af4c-028037ec0200}\Shell - "" = AutoRun
O33 - MountPoints2\{6eb18239-82d5-11df-af4c-028037ec0200}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\{6eb18239-82d5-11df-af4c-028037ec0200}\Shell\install\command - "" = F:\setup.exe
O33 - MountPoints2\{6eb18239-82d5-11df-af4c-028037ec0200}\Shell\install1\command - "" = DirectX\DXSETUP.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\VTP_Manager.exe
[2011.04.09 20:21:44 | 000,000,320 | -HS- | M] () -- C:\Windows\tasks\QNBOYPCNIP.job
[2011.03.20 14:40:03 | 000,118,784 | RHS- | M] () -- C:\Windows\System32\pnpuil.dll
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Liaron 16.04.2011 02:10
Danke erstmal, scheint schon besser zu sein nach dem Fix! Die Redirects sind weg und die Windows 7 Gadgets gehen wieder.. Anbei auch die Log von OTL..

Scheint jetzt alles in Butter soweit - danke nochmal!! :)

cosinus 16.04.2011 11:39
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Liaron 14.05.2011 15:58
So, hat wieder nen weilchen gedauert aber hey..

Bin eigentlich auch problemfrei (zumindest scheinbar)..

Hier also endlich der TDSSKiller-Log..

Ciao

cosinus 14.05.2011 17:41
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Liaron 14.05.2011 21:25
Hey, so jetzt das Log von ComboFix..

War etwas seltsam - bevor ich ComboFix ausgeführt habe hat mein Firefox (wahrscheinlich unabhängig davon) etwas gesponnen. Undzwar haben sich z.B. die Smileys in eurem Forum nur dann bewegt wenn ich meine Maus bewegt habe. Wenn das alles gewesen wäre, wärs mir ja egal aber das gleiche passierte auch beim Downloaden von Dateien - ging nur weiter wenn ich meine Maus bewegt habe..

Nach dem Scan scheints aber besser zu sein..

:dankeschoen: soweit.. :applaus:

cosinus 15.05.2011 11:31
Zitat:
AV: Sophos Anti-Virus *Disabled/Updated* {479CCF92-4960-B3E0-7373-BF453B467D2C}

SP: Sophos Anti-Virus *Disabled/Updated* {FCFD2E76-6F5A-BC6E-49C3-843740C13791}
Ist das noch installiert?

Liaron 15.05.2011 18:02
Mh, eigentlich nicht - hab es bereits deinstalliert und hab das gerade nochmal im Programm-Manager nachgeschaut..

Grüße

cosinus 15.05.2011 18:28
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Seccenter::
AV: Sophos Anti-Virus *Disabled/Updated* {479CCF92-4960-B3E0-7373-BF453B467D2C}
SP: Sophos Anti-Virus *Disabled/Updated* {FCFD2E76-6F5A-BC6E-49C3-843740C13791}
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Liaron 27.05.2011 00:55
Hier die Log..

Ciao

cosinus 27.05.2011 09:23
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:18 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129