hey
hab seit gestern einen trojaner namens
trojanaspx.js.win32.it auf meinem laptop
dieser zeigt mir die ganze zeit an dass mein pc von einem
virus betroffen ist, doch wenn ich draufklicke passiert eigentlich nichts weiter.
nach einer weile erscheinen auf meinem desktop die dateien spam003,
spam001, troj000, sowie links zu irgendwelchen pornoseiten.
Wenn ich diese in den papierkorb schmeiße kommen sie aba nach ein
paar minuten wieder.

ich hoffe ihr könnt mir helfen und vielen dank im vorraus

Hallo und

um Dir weiterhelfen zu können, brauche ich zuerst ein paar Logfiles von Dir:

1.) Virenscan mit Malwarebytes Anti-Malware

2.) Systemscan ...

• ... mit RSIT von random/random (für 32bit-Systeme)
• ... oder mit OTL von Oldtimer (für 64bit Systeme):
  • Lade Dir OTL.exe herunter und speichere sie auf dem Desktop.
  • Führe OTL.exe mit einem Doppelklick aus (Vista User: Rechtsklick -> "Als Administrator ausführen")
  • Wähle bitte im Block "Extra Registry" die Möglichkeit "Use SafeList" aus.
  • Zusätzlich bitte noch "LOP Check" und "Purity Check" anhaken.
  • Nun bitte mit "Run Scan" einen Systemscan durchführen.
  • Nach dem Scan werden zwei Logfiles erstellt (OTL.txt und Extras.txt).
  • Diese bitte hier posten.

Falls die Logfiles zu lang fürs Board sind, kannst Du auch die jeweilige Textdatei hier anhängen. (über "Anhänge verwalten")

PS: Falls Malwarebytes nicht starten sollte: http://www.trojaner-board.de/82699-m...tet-nicht.html

habe nun ccleaner, malaware und RSIT ausgeführt.


Anhang 6007

Anhang 6008

Anhang 6009

Hallo,

da ist ja einiges an Malware auf Deinem System.
Bitte mal einen Rootkitscan mit GMER durchführen.

Zitat:

C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.

Dies bedeutet, dass höchstwahrscheinlich Deine Passwörter mitgeschrieben wurden.
Bitte ändere sämtliche Passwörter! (u.a. E-Mail, eBay, Online-Banking, ...)

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-03-28 15:48:48
Windows 5.1.2600 Service Pack 3
Running: qor34vzz[1].exe; Driver: C:\DOKUME~1\Andreas\LOKALE~1\Temp\fgtdrpog.sys


---- System - GMER 1.0.15 ----

SSDT 9DCE95A6 ZwCreateKey
SSDT 9DCE959C ZwCreateThread
SSDT 9DCE95AB ZwDeleteKey
SSDT 9DCE95B5 ZwDeleteValueKey
SSDT 9DCE95BA ZwLoadKey
SSDT 9DCE9588 ZwOpenProcess
SSDT 9DCE958D ZwOpenThread
SSDT 9DCE95C4 ZwReplaceKey
SSDT 9DCE95BF ZwRestoreKey
SSDT 9DCE95B0 ZwSetValueKey
SSDT 9DCE9597 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? jnnhw.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@{!s!\30!r!{!`!t!c!i!\24!t!j!s!y!s!\24! 19583823

---- EOF - GMER 1.0.15 ----

hey leute, ich bin neu hier und war direkt fasziniert dass hier echt alles erörtert wird was so an üblichen und nicht so häufigen problemen anfällt.

ich habe mir nen virus eingefangen der sich als antivirus soft ausgibt. hier wurde auch schöne eine direkte und relativ konkrete anleitung angezeigt, jedoch kann ich diese nicht eins zu eins umsetzen da bei mir jede öffnung einer datei oder eines fensters direkt abgebrochen wird.

mit anderen worten ich kann nichts öffnen, und habe keinen einfluss auf meinen rechner und den zugang meiner daten.

ich brauche unbedingt hilfe und bitte so schnell wie möglich, da sich auf dem rechner noch wichtige dokumente für schulprojekte und arbeiten befinden. die ich nicht reten konnte.

die hilfe sollte bitte sehr detailiert sein.

danke

mein problem hat sich nur stark verschlimmert

nachdem ich GMER ausgeführt habe, hat mein dad einfach den laptop heruntergefahren.
das problem ist, dass dieser jetzt überhaupt nicht mehr bootet.
einzig und allein die lampe an den an-/ausschalt taste leuchtet noch.
ich höre auch noch die lüftung aber sonst geht da gar nix mehr

mein vater hat gesagt als er ihn heruntergefahren hat stand da dass die einstellungen
von windows gespeichert werden. Er hat ihn dann nach dem das schon 15 minuten da
stand und der laptop immer noch nich aus war einfach so abgeschaltet.

Bis ins BIOS kommst du auch nicht mehr?
Ansonsten hättest du mal versuchen können, von der Windows-CD zu booten.

An GMER oder RSIT kann es nicht gelegen haben, die haben nur gescannt, aber nichts gelöscht. Evtl. ist etwas an der Hardware hinüber?
In dem Fall müsste dann ein anderer übernehmen, denn da kenn ich mich überhaupt nicht aus

nee nee ich komm nich mal ins BIOS
ja ich glaub nich dass es an der hardware liegt weil des ging von einer sekunde auf die nächste ja nich mehr.

laptop bootet wieder
musste lediglich den akku entfernen und wieder dranmachen
wollt jetzt noch fragen was nun mit dem GMER log ist, weil es hieß da seien
verdächtige sachen drin

gruß
andi

Wegen des verdächtigen Fundes:

ComboFix anwenden:
(mit Erlaubnis von cosinus)

* Lade Dir combofix.exe auf den Desktop herunter, speichere sie aber als cofi.exe - Noch nicht ausführen!
* Lösche mit CCleaner alle temporären Dateien.
* Deaktiviere alle Antivirenprogramme deaktivieren, auch die Firewall.
* Der Rechner muss ans Internet angeschlossen sein, damit CF eine Wiederherstellungskonsole herunterladen kann!
* Während ComboFix scannt, bitte nicht die Maus bewegen oder die Tastatur benutzen. Dies könnte CF zum Absturz bringen.
* Doppelklick auf cofi.exe
* Alle Dialoge mit "Yes" bzw. "Ja" beantworten.
* In dem blauen Fenster dann "1" eingeben und auf Enter. (falls verlangt)
* Nun scannt CF, startet den Rechner neu und erstellt ein Logfile.
* Den Inhalt des Logfiles dann hier posten.

hier der combofix log

Anhang 6038

Ok, sieht soweit gar nicht schlecht aus.

Wenden wir uns nochmal diesem Eintrag aus GMER zu:

Zitat:

Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@{!s!\30!r!{!`!t!c!i!\24!t!j!s!y!s!\24! 19583823

• Sichere Deine Registry: (sicher ist sicher)
  • Registry öffnen (Start -> Ausführen -> "regedit"), dann auf "Datei" -> "Exportieren".
  • Wähle unter "Exportbereich" -> "Alles" und sichere die Registry, am besten als <Datum>.reg, also 30-03-2010.reg
• Lade Dir hier swreg.exe und speichere sie nach C:\WINDOWS\
• Öffne den Command (Start -> Ausführen -> "cmd")
• Kopiere folgende Zeile in den Command:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  swreg NULL DELETE HKCR\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}
           

• Starte dann einen erneuten Scan mit GMER.

(In Anlehnung an: Junk-NavQuar removal - HJT - Tech Support Guy Forums)

hallo haben auch den trojaner drauf würde gern wissen wie ich mein logfiles hier rein posten kann

Eröffne bitte ein eigenes Thema und schildere dort Dein Problem.
Sonst wird das zu unübersichtlich

Dein HijackThis-Logfile kannst Du ganz einfach mit Ctrl+C und Ctrl+V einfügen.