Hallo

Bei mir hat sich vor kurzem beim Aufruf einer Seite, auf einmal ein Fenster geöffnet, dass mir angezeigt hat, dass sich auf meinem PC über 20 Viren befinden. Danach meldete sich ein Programm mit dem Namen "Windows Crashes Deliverer", dass ein Systemcheck machen und Updates installieren wollte.
Zusätzlich öffneten sich auch noch ständig "Warning!"-Fenster, die mir anzeigten, dass sich Viren auf meinem System befinden und in welchem Verzeichnis diese sind.
Die Viren hatten u.a. die Bezeichnungen:
- Trojan.MSIL.Agent
- Trojan-Downloader.Win32.Agent
- Virus.Win32.Sality

AntiVir, dass ich installiert hatte, hat jedoch keinen der Viren finden oder entfernen können.
Ich habe als ziemliche Computerlaie keine Ahnung was ich machen soll. Habe auch schon die Virenkennzeichunungen gegooglet, weiß jedoch nicht welcher Seite ich trauen kann.
Verwende im übrigen Windows XP.

Hoffe auf Hilfe und liebe Grüße

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: rKill verwenden
Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

• rKill.com
• rKill.scr
• rKill.exe

und speichere die Datei auf dem Desktop.

• Deaktiviere deine Anti- Viren- Software.
• Starte das Tool mit Doppelklick
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
• Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen, dass es läuft.
• Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.





Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 4: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 5: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
ctfmon.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile von Defogger,
• das Logfile von GMER und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Ich habe jetzt rKill installiert und es hat sich auch das schwarze Fenster geöffnet. Allerdings kam wenig später folgende Meldung:

Code: Alles auswählenAufklappen

ATTFilter

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 

Rkill was run on 13.07.2011 at 13:51:23. 
Operating System: Microsoft Windows XP 

Processes terminated by Rkill or while it was running: 


Rkill completed on 13.07.2011 at 13:51:30.
         

Dann habe ich Malwarebytes' Anti-Malware installiert. Der konnte jedoch die Aktualisierung nicht starten und hat gemeldet:

Code: Alles auswählenAufklappen

ATTFilter

Ein Fehler ist aufgetreten, bitte geben Sie den folgenden Fehlercode an das Malwarebytes' Antimaleware Support-Team weiter.

PROGRAM_ERROR_UPDATING (11001, 0, Host not found)

Der angegebene Host ist unbekannt.
         

Den Scan habe ich allerdings trotzdem gemacht und er hat 4 infizierte Objekte gefunden & entfernt.
Das kam als Logdatei dabei raus:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.07.2011 14:19:08
mbam-log-2011-07-13 (14-19-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 84868
Laufzeit: 20 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Maike\anwendungsdaten\microsoft\nldibg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Maike\anwendungsdaten\microsoft\pimujn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Maike\eigene dateien\downloads\freesystemscan.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Maike\lokale einstellungen\anwendungsdaten\Mozilla\Firefox\Profiles\yshxoyxc.default\Cache\6e09f2dcd01 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Hallo Chleo,


führe bitte noch Defogger, GMER und OTL wie beschrieben aus und poste die Logfiles.

Vielen Dank.

Okay, hier erstmal das Logfile von defogger:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:30 on 13/07/2011 (Rolf)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-07-13 23:42:20
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e WDC_WD2500JD-55HBB0 rev.08.02D08
Running: 75tmzi8f.exe; Driver: C:\DOKUME~1\Rolf\LOKALE~1\Temp\ugldrpob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C515CE                                  ZwCreateKey
SSDT            F7C515C4                                  ZwCreateThread
SSDT            F7C515D3                                  ZwDeleteKey
SSDT            F7C515DD                                  ZwDeleteValueKey
SSDT            F7C515E2                                  ZwLoadKey
SSDT            F7C515B0                                  ZwOpenProcess
SSDT            F7C515B5                                  ZwOpenThread
SSDT            F7C515EC                                  ZwReplaceKey
SSDT            F7C515E7                                  ZwRestoreKey
SSDT            F7C515D8                                  ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.vmp2           C:\WINDOWS\system32\drivers\acedrv11.sys  entry point in ".vmp2" section [0xEC68869D]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----