Hey liebe Trojaner Board Community
Als ich vorgestern nach einem passendem Youtube Layout auf einer Seite ( ytlayouts.net ) suchen wollte und mir ein Modern Warfare 2 Bild Layout gedownloadet habe, ruckelte auf ein mal mein Explorer und dann kam eine sehr sehr tolle ( Achtung Ironie ) Anzeige aufgeploppt. Nämlich dass angeblich die Bundespolizei meinen PC gesperrt hätte ( können die das eig wenns echt wäre? ) Außerdem stand dort, dass ich alle möglichen illegalen Sachen auf meinem PC hätte ( unter anderem pornographishe und terroristische [ Als ob ich die hätte lol ] ) . Und ich sollte als Strafe 100€ Paysafecard oder uKash zahlen ( nein ich habe es nicht gemacht, da es 1. voller Rechtschreibfehler war , 2. Die Bundespolizei verlangt niemals Paysafecard/uKash, und 3. ich einfach mal am anderen PC Bundespolizeit Trojaner eingegeben habe und sofort etwas gefunden habe ) . Und immer wenn ich meinen PC angemacht habe, kam nun diese Anzeige und sie ließ sich nicht schließen und den Task Manager konnte ich auch nicht öffnen. Kurzerhand zog ich erst einmal das Internetkabel um schlimmers zu verhindern.
Aber ich bin ja nicht dumm, also habe ich es mehrmals versucht, das gedownloadete Bild während des Startvorgangs, wo die Anzeige noch nicht aufploppte zu löschen und hatte Erfolg. Aber leider brachte dies nichts
Also nächster Versuch : Ich startete den PC im abgesicherten Modus und hatte Erfolg: Die Anzeige ploppte nicht auf Daraufhin habe ich kurzerhand Malwarebytes gestartet und eine Schnellüberprüfung gestartet.
Es wurden 2 Dateien gefunden und diese habe ich auch sofort über Malwarebytes gelöscht ( Log am Ende des Beitrags ) . Dann startete ich meinen PC neu und die Anzeige war weg . Also alles war wieder normal bis auf ein paar Ruckler, die jetzt auch nicht mehr da sind. Ich habe noch 2 vollständige Überprüfungen mit Malewarebytes gemacht, aber es wurden keine weiteren Infizierten Dateien gefunden.

So jetzt zu meinem Hauptproblem : Jetzt weiß ich nicht ob mein PC clean ist oder ob noch ausspioniergefahr besteht, da es ja ein Trojaner war
Weil ich würde mein PC gerne so behalten wie er ist, da ich kb habe alles neu zu downloaden ( Steam Games ) , aber es wäre auch nicht der Weltuntergang, also ich könnte einfach meine Recovery Festplatte benutzen und in den Ausliferungszustand zurücksetzen.

Hier die Logs :
Fünf Tage davor :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7386

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

05.08.2011 17:36:47
mbam-log-2011-08-05 (17-36-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150409
Laufzeit: 2 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Während der Infizierung :

Internet Explorer 9.0.8112.16421

10.08.2011 18:51:36
mbam-log-2011-08-10 (18-51-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148207
Laufzeit: 2 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Trojan.Agent) -> Value: avupdate -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Name\AppData\Roaming\jashla.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Jetzt :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7435

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

11.08.2011 17:59:45
mbam-log-2011-08-11 (17-59-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 415761
Laufzeit: 1 Stunde(n), 30 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hm 16 Klicks und keine Antwort

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hey habe alles befolgt, aber eine Frage habe ich : du hast geschrieben : Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Wie Browser schließen? Sollte dabei Firefox auf sein? Oder meinst du einfach das Eset Fenster?

Naja jedenfalls wurde eine infizierte Datei gefunden, was soll ich jetzt tuen? Einfach löschen? Oder soll ich mit meiner eingebauten Recovery Festplatte ( D: ) in den Auslieferungszustand zurücksetzen? Wenn ja , soll ich dannach nochmal mit Malewarebytes und Eset überprüfen? Und mir kam es so vor, als ob Eset die Recovery Festplatte nicht überprüft hat. Soll ich dir infizierte Datei vielleicht mal bei virustotal.com hochladen?

Edit : Ich hab mir grad den Trojaner mal genauer angeguckt, er ist grade mal 51 KB groß und als plugin versteckt und Änderungsdatum ist ganz zufällig ebenfalls wie der Bundespolizei Vorfall vom 10.08.2011
Außerdem hier der Virustotal Report : www.virustotal.com/file-scan/report.html?id=3dfad3f9b07ac0832455d97f88d9487ddca3370683868f4ccbbb6604a3cf1ebe-1313228097

Außerdem habe ich die beiden anderen infizierten Dateien noch immer in der Malewarebytes Quarantäne, soll ich die da raus löschen oder drinne behalten?

Naja hier ist der Log :


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=d84ef1f6d11d514caa60703a8a4c67da
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-13 09:15:23
# local_time=2011-08-13 11:15:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776637 100 100 74089 150754051 0 0
# compatibility_mode=8192 67108863 100 0 200 200 0 0
# scanned=273784
# found=1
# cleaned=0
# scan_time=5600
C:\Users\Niclas\AppData\Local\Temp\plugtmp-28\plugin-2fdp.php JS/Exploit.Pdfka.PCS.Gen trojan (unable to clean) 00000000000000000000000000000000 I

Edit : Also was soll ich jetzt tuen?

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo, ich habe jetzt meinen PC mit meiner Recovery Festplatte in den Auslieferungszustand versetzt und jetzt scheint es so als ob ich nicht mehr infiziert bin
Also ich habe nochmal mit Malewarebytes und Eset Online geprüft und es hat nichts gefunden.
Soll ich jetzt trotzdem nochmal mit OTL machen?
Naja hier sind die Logs :

Malewarebytes :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7480

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19019

17.08.2011 07:40:09
mbam-log-2011-08-17 (07-40-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 259797
Laufzeit: 23 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Eset Online :

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=44f28644e5ad0c49bb9308f19c5b50fc
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-17 03:13:53
# local_time=2011-08-17 05:13:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776637 100 100 1229 151124913 0 0
# compatibility_mode=8192 67108863 100 0 169 169 0 0
# scanned=126982
# found=0
# cleaned=0
# scan_time=1848

kommt auch irgendwann ne antwort?

Was soll ich denn antworten wenn du neu aufgesetzt hast?!
Es gibt keine Funde! Eine Neuinstallation ist immer die sicherste Methode ein System von Schädlingen zu befreien!

Solche Sachen kann man selbst innerhalb von wenigen Minuten herausfinden und muss nicht mit leicht unverschämten Ton hier nach einer Antwort betteln!