Hallo,

es geht um einen PC mit Windows XP Home SP3.

Seit ca. 3 Wochen befindet sich ein Trojaner im Systemverzeichnis c:\windows\system32, der
öfter mal seinen Dateinamen und die Trojanerbezeichnung wechselt.
(siehe Antivir-Scan AVSCAN-20110619-162845-A95F91B7.LOG im Anhang)

Die aktuelle Dateiname ist memmvsetup.exe (Trojaner TR/Spy.ZBot.bque).
Der vorherige Dateiname war memymem.exe (Trojaner TR/Kazy.25272).

Diese Dateien ließen sich nicht reparieren (umbenennen, löschen, in Quarantäne verschieben), da Windows sich dann nicht mehr starten läßt.

Als Vorsichtsmaßnahme hatte ich diese Dateien mit einer Rettungs-CD gesichert (mit Windows
ließen sich die Dateien nicht kopieren oder umbenennen), so dass sich Windows wiederherstellen ließ.
Ich habe den PC sofort vom Netz genommen.
Alle Anwenderdaten sind gesichert.
Ich habe dieses Problem schon im Avira-Support-Forrum vorgestellt und dort als Lösung vorgeschlagen bekommen, alles neu zu installieren. Diese Lösung möchte ich unbedingt vermeiden, da auf dem PC eine SW_Konfiguration ist, die sich nur schwer wiederherstellen läßt. Da dieses Thema im Avira Support Forum aus meiner Sicht beendet ist, hoffe ich, dass dieser Beitrag nicht unter Crosspostng fällt und ihr mir eventuell weiterhelfen könnt.

Ich habe die von Euch angegebenen Scanner Defogger, OTL und GMER angewendet und die Protokolle im Dateianhang mitgeschickt.
Bin mir allerdings nicht sicher, ob das Programm defogger korrekt gelaufen ist.

Ich bedanke mich schon mal im voraus für Eure Bemühungen und bin gespannt darauf, was ihr vorschlagt.

jhFriese

hi
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo markusg,

danke für Deine Antwort.
Nach Lesen der Anleitung zu Combofix habe ich versucht, die Wiederherstellungskonsole manuell zu installieren.
Das war allerdings erfolglos, da nach Eingabe des Befels

d:\i386\winnt32.exe /cmdcons

sofort die Meldung kommt:

Die aktuelle XP-Version auf dem Rechner (SP3) ist aktueller
als die auf CD (SP1A).

Danach lässt sich die Installation nur abbrechen.
Allerdings läßt sich die Wiederherstellungskonsole aufrufen, wenn ich
direkt von der Installationscd boote.
Reicht das als Sicherheitsmaßnahme aus, wenn ich combofix starte und
den Punkt "Wiederherstellungskonsole installieren" überspringe ?

Schon mal danke im voraus für eine Antwort

jhFriese

ja führe combofix einfach so aus. und poste das log

Hallo, markusg,

als Dateianlage sende ich das Logfile von Combofix.

Noch zur Information:
Den infizierten PC bearbeite ich Offline, da jeder Kontakt zum Netz anscheinend neue Viren auf dem PC erzeugt. Wegen des Versuchs, die
Wiederherstellungskonsole zu installieren, war ich kurz am Netz, was anscheinend dazu geführt hat, dass in c:\windows\system32 an Stelle der Datei memmvsetup.exe nun ein neues Schadprogramm logonphlp.exe
vorhanden ist, das noch gar nicht als Trojaner von Antivir erkannt wird.
(ich habe nur gescannt, aber nichts repariert).

Danke schon mal im voraus !

jhFriese

dieses system muss formatiert werden.
bitte bringe es online, ich möchte mir was ansehen.
gehe auf arbeitsplatz, c: dort qoobox, rechtsklick und mit winrar oder zip packen, datei hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Das ist der Pc meiner Tochter. Sie schreibt darauf ihre Examensarbeit.
(Winword und Excel).
Ansonsten mail, Internet surfen, mal nen Flug buchen und neuerdings auch
Onlinebanking. Seit infiziert, wird der Pc nur noch Offline genutzt bzw.
im Moment von mir untersucht.
Muss ich die Zip-Datei vom infizierten Computer schicken oder kann ich die
Datei Qoobox.zip (indem ich sie umbenenne, z.B. in Qoobox.xxx) auch von
einem anderen PC uploaden ?

jhFriese

ok danke für den upload.
die bank muss umgehend!!! angerufen werden, hier ist ein banking trojaner ders auf logins abgesehen hatt.
endert von nem sauberen pc, falls vorhanden, alle passwörter.
dieses gerät muss, wie gesagt, formatiert werden.
datensicherung vorbereitung:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
deaktiviere autorun, dann sichere bilder, dokumente etc.
formatieren, falls hilfe benötigt wird, melded euch.
pc absichern, hier kann, und muss man, in der heutigen zeit mehr tun, als ein antivirus drauf zu hauen und zu hoffen, das geht bei der stetig steigenden zahl von ausgeklügelter malware, schief, deswegen zeige ich euch, wie man das system mit einfachen mitteln wirksam schützt.

Hallo markusg,

das hatte ich schon befürchtet, dass eine Neuinstallation nötig ist.

Das Problem, das besteht, ist, das wir eine Software für
Literaturrecherche von einer Hochschule installiert haben, die, falls wir den
Rechner plattmachen, neu beantragt und installiert werden muss und das kann nach
unseren Erfahrungen mit der vorherigen Installation Monate dauern.Das ist der
Grund, weshalb ich den Rechner nicht plattmachen möchte. Die Recherchen sind
zwar zum größten Teil abgeschlossen, aber eben nicht zu 100%.
Der Rechner geht definitiv nicht mehr ans Netz, es sei denn, das noch eine
Recherche notwendig ist.

Ich werde einen neuen Rechner fürs Internet besorgen und möchte gern auf Dein Angebot zurückkommen, diesen Rechner mit Eurer Hilfe von vornherein optimal gegen Schadenssoftware abzusichern.

Vielen Dank im voraus

jhFriese

kann man die lizenz nicht sichern? bzw könnt ihr den pc dann nach dem die arbeit getan ist neu machen?
das angebot steht natürlich auch für pc2

sobald die Arbeit abgeschlossen ist, wird der infizierte PC natürlich neu installiert und wird mir dann als Test-Pc dienen.
Auch da würde ich gern auf eure Hilfe für optimale Sicherheit zrückkommen.
Wie nehme ich zu Euck Kontakt auf: über ein neues Thema oder Weiterführung von diesem Thema ?

Danke

jhFriese

hier in diesem thema, falls ichs nicht sehe, private nachicht.

OK! Vielen Dank