Hallo erstmal,

ich versuche euch das erstmal zu beschreiben.

vor 3 tagen spielte ich minecraft als plötzlich der bundeskriminalamt trojaner erscheinte.. habe nichts gemacht oder so. am nächsten tag hab ich erstmal über den abgesicherten modus ne systemwiederherstellung gemacht. danach ging erstmal alles wieder aber dann beim internet explorer wenn ich etwas google und dann drauf gehen will geht er nicht zu der seite sondern zu einer anderen und diese seite öffnet dann ein cmd fensterchen von windows und dann kommt der trojaner wieder?

Nun noch ein problem.. svchost.exe frisst sich immer weiter hoch mit der speicherauslastung bis dann mein pc 100% ausgelastet ist. dann hört man einen ton das hört sich an als würde jemand eine website öffnen und dann kam eine englische stimme und hat etwas über las vegas gefaselt...

hab schon avira full scan gemacht hat aber nichts genützt..

Windows XP , Service Pack 3

hilfe!!

gruß

Finest

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

ich kann keine logs posten warum??

hoffe es geht hier die logs im anhang

ich habe ein problem mit GMER wenn ich es starte bekomme ich bluescreen (BAD_POOL_HEADER) oder sowas geht zu schnell weg sonst würde ich es fotografieren.

ich weiß auch nicht wie man das neustarten ausstellt

Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.08.07 23:21:18 | 000,052,736 | ---- | M] () -- C:\WINDOWS\Temp\nmpdyx\setup.exe
SRV - [2011.08.07 23:21:18 | 000,052,736 | ---- | M] () [Auto | Stopped] -- C:\windows\TEMP\nmpdyx\setup.exe -- (AMService)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKCU..\Run: [0A6VZJ5HUGZD4VWGWQATWRCSSSFC] C:\sdhifshdhfj\E449B406AEC.exe (Funky Chin Sacred Greta)
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell\AutoRun\command - "" = F:\Setup.exe
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell\AutoRun\command - "" = E:\Bin\assetup.exe
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

hier erstma das otl log

All processes killed
========== OTL ==========
No active process named setup.exe was found!
Service AMService stopped successfully!
Service AMService deleted successfully!
C:\WINDOWS\Temp\nmpdyx\setup.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\0A6VZJ5HUGZD4VWGWQATWRCSSSFC deleted successfully.
C:\sdhifshdhfj\E449B406AEC.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
File F:\Setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
File E:\Bin\assetup.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 205994 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 15899992 bytes
->Flash cache emptied: 434 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 20987951 bytes
->Flash cache emptied: 3159 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: XP
->Temp folder emptied: 541136240 bytes
->Temporary Internet Files folder emptied: 12633633 bytes
->Java cache emptied: 37365812 bytes
->FireFox cache emptied: 44681231 bytes
->Flash cache emptied: 9682 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 60328480 bytes
%systemroot%\System32 .tmp files removed: 1842055 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9626839 bytes
RecycleBin emptied: 302592 bytes

Total Files Cleaned = 711,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08092011_143802

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

und der Malwarebytes log

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7416

Windows 5.1.2600 Service Pack 3, v.3264
Internet Explorer 7.0.5730.13

09.08.2011 14:51:57
mbam-log-2011-08-09 (14-51-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179595
Laufzeit: 4 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\799b87e93203c9e (Trojan.Spyeyes) -> Quarantined and deleted successfully.

ich weiß nicht ob das hier hilfreich ist aber ich machs einfach mal ..

svchost.exe geht immernoch hoch und Malwarebytes gibt mir diese meldung die ganze zeit mit verschiedenen ips

Screenshot im anhang

Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
  Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

  • Drivers
  • Stealth Code
  • Files
  • Code Hooks

  Entferne alle anderen Hacken
  

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

  File --> Save Report

  klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen

Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK

sorry das ich nicht mehr geantwortet habe aber ich habe mich dann doch für das Neuaufsetzen entschieden )

Danke aber trotzdem für deine Hilfe

Gern geschehen. Ist nie schlecht alles neu zu machen.