Zitat:

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: | Country: | Language: | Date Format:

1023,48 Mb Total Physical Memory | 399,36 Mb Available Physical Memory | 39,02% Memory free
2,91 Gb Paging File | 2,22 Gb Available in Paging File | 76,32% Paging File free
Paging file location(s): C:\pagefile.sys 2048 2048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,56 Gb Total Space | 20,94 Gb Free Space | 28,09% Space Free | Partition Type: NTFS

Computer Name: PC | User Name: Herr Baumann | Logged in as Administrator.

Das sind die wichtigsten Infos lieber Felix!

@Cosinus

Zitat:

Zitat von Melanchton

- Rechner ist Privat-PC, Nutzer-Profil ist nicht Administrator

Meinste das hier?

Naja, OTL als nicht-Admin auszuführen ist sehr sinnfrei
(ich weiß schon warum ich es fett markiert habe )

... sorry, wie gesagt, den PC wuerde ich nicht unbedingt als meine Staerke bezeichnen. Es gibt auf diesem Rechner auch noch ein Nutzer-Profil Administrator ...

(Verschiebung in den richtigen Bereich wurde beantragt)

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Guten Morgen Arne und Felix,


anbei ist das File, welches von der aktualisierten Malwarebytes-Anwendung erstellt wurde

HTML-Code:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7529

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22.08.2011 07:23:47
mbam-log-2011-08-22 (07-23-47).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 274403
Time elapsed: 2 hour(s), 13 minute(s), 28 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\system volume information\_restore{57cc3421-a3ab-43ab-be4b-7ca894c3968e}\RP0\A0000005.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Yum Vergleich ist hier auch noch ein Malwarebytes-File vom 13.08.2011

HTML-Code:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7454

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.08.2011 14:25:57
mbam-log-2011-08-13 (14-25-57).txt

Scan type: Quick scan
Objects scanned: 155441
Time elapsed: 9 minute(s), 46 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Files Infected:
c:\systemdata\217fa9663ac.exe (Trojan.SpyEyes.R) -> Quarantined and deleted successfully.
c:\DelUS.bat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

Langsam treibt mich auch die englische Tastatur, welche nicht umgestellt werden kann in den Wahnsinn ...



Euch allen vorab vielen Dank und Gruss!

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes)

Eins vorweg: Es sollte hinlänglich bekannt sein, dass eine Bereinigung keine 100% Sicherheit (in Bezug auf Entfernung der Infektion) liefert und man den Rechner plätten und neu installieren sollte, wenn man kritische Dinge wie zB Onlinebanking in Zukunft weiterhin sicher erledigen will. Gerade beim BKA-Fake seh ich häufig noch SpyEyes-Infektionen - SpyEyes ist ein gefährlicher Keylogger, der sämtliche Tastaturanschläge aufzeichnet und so prinzipiell jedes eingetippte Passwort klauen kann!
Falls du lieber eine Neuinstallation vornehmen und vorher noch alle relevanten Daten sichern willst, folgst du zuerst dem 2. Link in meiner Signatur zur Datensicherung über Ubuntu oder einer anderen beliebigen Live-CD, anschließend dem Artikel zur Neuinstallation von Windows. Natürlich änderst du dann auch sämtliche Passwörter, wenn das System frisch installiert wurde!

Wichtig: Sichere über die Live-CD nur reine Datendateien, KEINE ausführbaren Dateien wie Programme/Spiele oder Setupdateien!

Hi Arne,


die Neuinstallation scheue ich ehrlich gesagt etwas - fuehle mich da nicht ausreichend firm. Gibt es keine Moeglichkeit, die Funktionsfaehigkeit des Desktops und der Einstellungen wiederherzustellen?



Gruss


Melanchton

Dann solltest du aber auf keinen Fall mehr so Dinge wie OnlineBanking mit dieser Kiste machen, oder andere kritische Dinge. Willst du das wirklich?

Hi Arne,


außer im Internet surfen und unkritischen MS Office - Anwendungen mache ich mit diesem PC nichts, d.h. momentan waere es mir wirklich lieber keine Neuinstallation durchzuführen.


Viele Gruesse,


Melanchton

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne,


eigenartigerweise konnte ich gestern den PC mit Eset Online Scanner nicht durchsuchen aufgrund eines Problems mit einem Proxy ...

Anbei das Log-File ...

HTML-Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=4c7746b4da79d340829314d3b7d86df9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-15 07:03:46
# local_time=2011-08-15 09:03:46 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1026 16777173 66 100 333152 67245507 0 0
# compatibility_mode=8192 67108863 100 0 214 214 0 0
# scanned=108429
# found=6
# cleaned=0
# scan_time=5213
C:\System Volume Information\_restore{57CC3421-A3AB-43AB-BE4B-7CA894C3968E}\RP1015\A0176091.exe	a variant of Win32/Injector.HIS trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{57CC3421-A3AB-43AB-BE4B-7CA894C3968E}\RP1018\A0176332.exe	a variant of Win32/Injector.HJV trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{57CC3421-A3AB-43AB-BE4B-7CA894C3968E}\RP1018\A0176371.exe	Win32/Spy.SpyEye.CA trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{57CC3421-A3AB-43AB-BE4B-7CA894C3968E}\RP1024\A0177789.exe	a variant of Win32/Injector.HTX trojan (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{57CC3421-A3AB-43AB-BE4B-7CA894C3968E}\RP1033\A0179904.dll	a variant of Win32/Kryptik.RMB trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08132011_134346\C_Dokumente und Einstellungen\Herr Baumann\Anwendungsdaten\jashla.exe	a variant of Win32/Injector.IOU trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=41217
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=4c7746b4da79d340829314d3b7d86df9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-23 06:25:51
# local_time=2011-08-23 08:25:51 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1026 16777173 66 100 101 67934356 0 0
# compatibility_mode=8192 67108863 100 0 689063 689063 0 0
# scanned=102515
# found=0
# cleaned=0
# scan_time=5317

Gruss und vielen Dank


Melanchton

Bitte beachten => http://www.trojaner-board.de/94344-p...n-pruefen.html