Hallo Trojaner Team,
ich bedanke mich schonmal im voraus für eure Arbeit, wirklich ein super Board hier!
Ich habe mir den vorhandenen Beitrag zu dem winupd.exe Trojaner bereits durchgelesen, aber ihr schreibt selbst das eure Lösungen immer User-Spezifisch sind - daher poste ich das gleiche Problem nochmals mit meinen Daten. (Post den ich durchgelesen habe: http://www.trojaner-board.de/101376-...inupd-exe.html)

1. defogger LOG
2. OTL LOGs
3. Maleware LOG

Vielen Dank!

*edit:
Hier noch die Funde von meinem Virenscanner (Trend MICRO Worry-Free Business Security)
Dateiname: winupd.exe // TROJ_GEN.R47C3FL // Übergangen // Manuelle SUche // Pfad: c:/install

Kann da leider keine LOG File exportieren - finde es zumindest mal nicht.

Zitat:

c:\install\winupd.exe (Backdoor.HMCPol.Gen)

machst du mit diesem PC Onlinebanking oder andere kritische Dinge?

Hallo Arne,
vielen Dank für die schnelle Antwort!

Nein, ich mache kein Online Banking, allerings ist das mein Arbeitsrechner wo vertrauliche Mails laufen und Warenwirtschaftsprogramme online verwendet werden. (Über Internet Explorer). Der Rechner hängt außerdem in einem Netzwerk, sind andere PCs dadurch gefärdet?

Grüße!

Zitat:

Nein, ich mache kein Online Banking, allerings ist das mein Arbeitsrechner wo vertrauliche Mails laufen und Warenwirtschaftsprogramme online verwendet werden.

Ja das meint ich mit "ähnlich kritisch" - bei sowas solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.

Hallo Arne,
vielen Dank für die schnelle Antwort!

Nein, ich mache kein Online Banking, allerings vertrauliche Mails und ich verwende Warenwirtschaftsprogramme (Online, internet explorer). Der Rechner hängt außerdem in einem Netzwerk, sind andere PCs gefärdet?

Vielen dank!
Walter

Du hast doppelt gepostet, überlies meine Antwort nicht

Sry, wegen dem Doppelpost. Auf meinem Rechner hing Firefox immer beim Antworten, hier am Mac sehe ich jetzt das die Antwort trotzdem gesendet wurde.

Prinzipiell würde ich eine Reinigung gerne versuchen da ich extrem viele Dinge sichern und neu installieren müsste. Dazu das Ganze einbinden in das Netzwerk usw.

Oder ist der Schaden durch den Trojaner zu groß um es halbwegs schnell zu beheben?

Zitat:

zu groß um es halbwegs schnell zu beheben?

Naja, wenn würde ich das in diesem Fall nur als vorübergehende Lösung betrachten.
Warum habt ihr von den wichtigen Rechnern und Konfigs keine Images? Man muss doch bei Firmenrechnern/-daten so oder so ans Backup denken, wieso nicht an Images?

Weil der EDV Mensch bei der Serverumstellung Mist gebaut hat und wir seitdem nur teilweise Backups haben.(Hauptsächlich die Daten auf dem Server, aber nicht die Rechner selber) Auf jeden Fall muss ich mein System komplett neu anlegen falls eine Säuberung zu riskant ist.
Ist es möglich festzustellen ob die Reinigung erfolgreich war oder können da immer Fragmente über bleiben?

Mein 2. Problem mit neu aufsetzen ist, dass der EDV Mensch für die Netzwerkintegration im Urlaub ist bis Mitte August. So lange muss ich also eh noch warten.

In Zukunft werde ich mir selbst noch ein zusätzliches Backup organisieren...man ist immer erst DANACH schlauer :/

Grüße,
Walter

Ok, dann versuchen wir erstmal eine Bereinigung.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.


Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Weiter Logs zu Malewarebytes habe ich nicht. Der Scan von ESET dauert wohl noch einige Stunden, nach 30min erst bei 3% obwohl ich eine SSD Platte habe - ist das normal?
*edit:
Habe natürlich alle Virenscanner und andere Hintergrundprogramme beendet bzw. alles als Admin gestartet.

Moin moin! Habe nun endlich den Log nachdem beim ersten mal der explorer abgestürzt ist und kein Log vorhanden war.

Code: Alles auswählenAufklappen

ATTFilter

esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=b16fbf6c0a74cc46bd587708d3c356a4
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-26 04:38:45
# local_time=2011-07-26 06:38:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=512 16777215 100 0 17472769 17472769 0 0
# compatibility_mode=5893 16776573 100 94 11624000 64100023 0 0
# compatibility_mode=8192 67108863 100 0 10837 10837 0 0
# scanned=243481
# found=5
# cleaned=0
# scan_time=3974
C:\$Recycle.Bin\S-1-5-21-3942893497-1675110534-1394135165-1182\$RSRLC8O.exe	a variant of MSIL/Injector.HB trojan (unable to clean)	00000000000000000000000000000000	I
C:\install\winupd.exe	a variant of MSIL/Injector.HB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\07262011_100613\C_install\winupd.exe	a variant of MSIL/Injector.HB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\07262011_100700\C_install\winupd.exe	a variant of MSIL/Injector.HB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\07262011_101036\C_install\winupd.exe	a variant of MSIL/Injector.HB trojan (unable to clean)	00000000000000000000000000000000	I
         

Zitat:

C:\_OTL\MovedFiles\07262011_100613\C_install\winupd.exe

Wer hat denn da schon was mit OTL gefixt? Wo ist denn das Fix-Log?

Shit, habe vergessen zu erwähnen das ich den Fix aus dem vorhandenem Post versucht habe. Sorry. (http://www.trojaner-board.de/101376-...inupd-exe.html)

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!