Hallo liebes Trojaner-Board,

mein Freund hat sich einen merkwürdigen Trojaner eingefangen. Er meinte heute morgen zu mir, dass Malewarebytes nicht reagiert und das System das Programm löschen will, aber er nie die Bestätigung dazu gibt. Des Weiteren finden Avira und Malewarebytes (sofern es mal reagiert) nichts..

Dennoch werden Googlesuchanfragen auf goingonearth umgeleitet. Da das Internet an meinem Rechner recht schnell ist, trotz der 2000 MB Leitung, vermute ich, dass der Virus auch sein Internet ausbremst. Sicher bin ich mir jedoch nicht.

Vllt. könnt ihr mir helfen sein System wieder hinzukriegen, da er bereits nicht mehr weiß, wie er das weg bekommen soll. Er hat bereits einige Programme zum Entfernen von dem Trojaner versucht , erfolglos. Deswegen kümmere ich mich jetzt darum.

Ich habe GMER, OTL und Defogger durchgehen lassen. Hoffe, dass ich das mit dem Anhang richtig mache. Ist mein erster Forumsanhang. :-)

Vielen Dank für die Hilfe im Voraus. Ach ja, den Debugger sofoert wieder aktivieren oder erst wenn ihr das OK gebt?

LG Annamaria

Zitat:

Des Weiteren finden Avira und Malewarebytes (sofern es mal reagiert) nichts..

Bitte trotzdem ALLE Logs von Malwarebytes posten

Guten morgen,

ich stelle gerade fest, das Mbam nicht mehr in der Schnellstartleiste ist. Mh

Ich poste dann mal die Logs, die ich hier auf dem Rechner gefunden habe:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7173

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2011 15:27:19
mbam-log-2011-07-17 (15-27-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 126700
Laufzeit: 41 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\Windows\Kveboa.exe (Trojan.FraudPack.Gen) -> 276 -> Unloaded process successfully.
c:\Users\Gecko\AppData\Local\Temp\Ksh.exe (Trojan.FraudPack.Gen) -> 4628 -> Unloaded process successfully.
c:\Users\Gecko\AppData\Local\Temp\Ksi.exe (Trojan.FraudPack.Gen) -> 4732 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.FraudPack.Gen) -> Value: 8DDYX0ZBPZ -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Kveboa.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Gecko\AppData\Local\Temp\Ksh.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Gecko\AppData\Local\Temp\Ksi.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\eigene dateien\sonstiges\wpa killer\2000-XP\AMD64\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\eigene dateien\sonstiges\wpa killer\2000-XP\IA64\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\eigene dateien\sonstiges\wpa killer\2000-XP\X86\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7173

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2011 16:31:33
mbam-log-2011-07-17 (16-31-33).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144035
Laufzeit: 3 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7173

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2011 17:30:34
mbam-log-2011-07-17 (17-30-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144104
Laufzeit: 4 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Das sind erstmal alle Logs. Danke

Annamaria

Downloade Dir bitte WVCheck von Artellos.com

• Speichere die Datei auf dem Desktop. ( solltest Du dir die .zip Datei herunter geladen haben musst Du diese zuerst entpacken )
• Starte die .exe mit Doppelklick
  Vista und Win7 User: mit Rechtsklick "als Admin ausführen" starten
• Wie beschrieben, kann das Tool eine Weile brauchen.
• Wenn es erledigt ist, kopiere den Inhalt des Textdokumentes hier in deinen Thread

Windows Validation Check
Version: 1.9.12.5
Log Created On: 1117_20-07-2011
-----------------------

Windows Information
-----------------------
Windows Version: Windows 7
Windows Mode: Normal
Systemroot Path: C:\Windows

WVCheck's Auto Update Check
-----------------------
Auto-Update Option: Do not download or install updates automatically.
-----------------------
Last Success Time for Update Detection: 2011-03-27 06:11:23
Last Success Time for Update Download: 2011-03-23 17:35:57
Last Success Time for Update Installation: 2011-03-24 17:31:48


WVCheck's Registry Check Check
-----------------------
Antiwpa: Not Found
-----------------------
Chew7Hale: Not Found
-----------------------


WVCheck's File Dump
-----------------------
WVCheck found no known bad files.


WVCheck's Dir Dump
-----------------------
WVCheck found no known bad directories.


WVCheck's Missing File Check
-----------------------
Missing: C:\Windows\system32\slmgr.vbs
Matched: %systemroot%\system32\slmgr.vbs
-----------------------


WVCheck's MBAM Quarantine Check
-----------------------
There were no bad files quarantined by MBAM.


WVCheck's HOSTS File Check
-----------------------
WVCheck found no bad lines in the hosts file.


WVCheck's MD5 Check
EXPERIMENTAL!!
-----------------------
user32.dll - 7bd7f45ff37fa0669cd32ca0ef46e22c


-------- End of File, program close at 1117_20-07-2011 --------

Zitat:

c:\eigene dateien\sonstiges\wpa killer\2000-XP\AMD64\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\eigene dateien\sonstiges\wpa killer\2000-XP\IA64\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\eigene dateien\sonstiges\wpa killer\2000-XP\X86\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.

Ausrede dafür?

Was ist das? Es ist, wie gesagt, nicht mein PC. Ich soll nur wieder "gesund" machen.

Der WPA-Killer ist ein Crack, um bei illegalen Windowsversionen die Echtheitsüberprüfung zu umgehen...

Ist jedenfalls illegal. Sag dem Bestizer, er möge sich ein legales Windows zulegen und eine komplette Neuinstallation durchführen. Bei Cracks wird hier nicht mehr bereinigt.

Danke, werde ich ihm sagen. Sofern ich weiß, war das System drauf, als er den Rechner gekauft hat (Privat).

Werd ihm sagen, dass er den neu machen soll und dass das ne unechte Version ist.

Annamaria