Hallo zusammen,

mich hat der BKA-Trojaner am letzten Mittwoch auch eiskalt erwischt. Gottseidank gibt es Euer Board. Habe mit Srep.exe den Rechner wieder zum Laufen bekommen. Besten Dank erst einmal für diese geniale Datei!

Zur Sicherheit poste ich noch die üblichen Logs. Die Otl.txt war zu groß. Deshalb diese Datei als Zip. Wie mache ich jetzt am besten weiter?

Lieben Gruß,

Noog

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

anbei das Vollscan Log von Malwarebytes. Hat ein bisschen gedauert bis der Scanlauf durch war :-). War mein erster Vollscan, daher keine alten Logs vorhanden.

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

So, Eset ist durchgelaufen:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=45dda56eefaff248999ec0d93983d72a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-07 11:14:47
# local_time=2011-09-08 01:14:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=4096 16777215 100 0 75277709 75277709 0 0
# compatibility_mode=8192 67108863 100 0 577 577 0 0
# scanned=127170
# found=0
# cleaned=0
# scan_time=18344

Zitat:

(G Data Software AG) -- C:\Programme\G DATA\InternetSecurity\

Eine Suite ist in eigentlich jedem Fall kontraproduktiv. Besser wäre ein reiner Virenscanner plus Windows-Firewall. Ich empfehle dir daher, jetzt GDATA zu deinstallieren und später - wenn wir duch sind - auf einen reinen Virenscanner wie MS Security Essentials zu wechseln.

Mach nach der Deinstallation von GDATA bitte ein neue OTL-Log.

Hallo Arne,

ich dachte immer mit dem GData Package wäre man gut abgesichert. Was sind denn die Nachteile? Sind denn die reinen MS-Lösungen (Windows Firewall und MS Security) sicherer? Gibt's da irgendwo etwas zum Nachlesen?

LG
Noog

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Hi Arne,

war ne knappe halbe Woche nicht zuhause. Besten Dank für die Literaturhinweise!

Habe jetzt Gdata entfernt (inklusive Nutzung des AVCleaners) und OTL laufen lassen. Habe aber nur OTL.Txt und keine Extras.txt erhalten. Hab's zweimal probiert. Reicht die OTL.txt aus?

Beste Grüße

Noog

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
O2 - BHO: (no name) - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.05 13:12:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{5c9ebc76-89d4-11e0-b79d-00138fde8949}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe
O33 - MountPoints2\{6d4ce92e-9f16-11e0-b7be-00138fde8949}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe
O33 - MountPoints2\{9f6750ee-6c95-11de-a7f6-0009dd1041ce}\Shell\AutoRun\command - "" = H:\.\dae_player.exe
O33 - MountPoints2\{a01deacc-a626-11df-b60e-00138fde8949}\Shell\AutoRun\command - "" = L:\InstallTomTomHOME.exe
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell - "" = AutoRun
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell\AutoRun\command - "" = J:\LGAutoRun.exe
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell - "" = AutoRun
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell\AutoRun\command - "" = J:\LGAutoRun.exe
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Guten Abend Arne,

vielen Dank für Deine Geduld. Anbei die Log-Datei.

Liebe Grüße

Noog

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hi Arne,

hier das TDSS-Killer-Log.

Gruß,
Noog

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey Arne,

so Combofix ist auch durch. Anbei das Log.

Schönen Abend noch,
Noog