Hallo Leute,
ich hab mir gerstern einen Trojaner eingefangen.
In diesem tollen Forum hab ich schon viel gelesen und hab den Ratschlag befolgt, ein eigenes Thema zu eröffnen.
Angefangen hat alles mit den Meldungen: Festplatten beschädigt, Neustarten,..., Symbole auf Desktop waren weg, keine Programme unter: Start--alle Programme,...
Bevor ich auf dieses Forum gestossen bin, habe ich versucht mit einer Systemwiederherstellung alles rückgängig zu machen. Leider ohne Erfolg.
Durch das tool "unhide" ist das Problem mit den Symbolen und Programmen behoben.
Ich weis aber nicht, ob der Schädling dadurch auch entfernt wurde.
Werde lieber, lt. Anweisung diverse Date (txt) posten.
Ist noch Handlungsbedarf?

Für eure Hilfe bedanke ich mich schon mal im Voraus.

Gerald

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
OTL hab ich schon gemacht, GMER läuft gerade noch (immer noch).
Leider kann ich die OTL nich posten, da ich mit Laptop online bin und der PC leider noch "scannt" und ich die Logfile alle als zip anfügen wollte. Werde so schnell wie möglich posten.

Gruß Gerald

Hi,
GMER läuft immer noch. (Stand = C:\i386\...)
Kann man mit dem PC bedenkenlos weiter arbeiten?
Meine Frau braucht den PC (ist die Buchhaltung,.... drauf) (sie ist selstständig).
Ich weis nicht, ob ich heut abend von euch noch eine Antwort bzgl. auswertung der Logfile bekomme und was noch zu tun ist.

Für eine Antwort bin ich euch dabkbar.
Gruß Gerald

P.S.: gibt es evtl eine Alternative?

Hier die logfile's im Anhang:




Ich habe mir gestern noch die Software: adaware und spybot aufgespielt. Sind die Programme ausreichend (als Schutz) oder gibt es etwas besseres (freeware)?

Gruß
Gerald

Hier die OTL.TxT mit deinem Inhalt: im Anhang

Hallo,
wie soll ich jetzt weitermachen?
Kann ich den Trojaner mit einem Scanner ausfindig machen und löschen?

Danke für die Ratschläge.

Gruß
Gerald

Ähm, hast du gestern per Edit die Logs nachträglich in dein Posting eingetragen? Ich meine die waren da noch nicht, als ich dein Posting gestern betrachtet habe, deswegen hab ich auf eine neue Antwort von dir gewartet.

Zitat:

Ich habe mir gestern noch die Software: adaware und spybot aufgespielt. Sind die Programme ausreichend (als Schutz) oder gibt es etwas besseres (freeware)?

Frei nach der Logik: "Viel hilft viel" ? Sry aber Ad-Aware und Spybot sind in meinen Augen nutzlos, fast wirkungslos. Und selbst wenn sie gute Erkennungsraten hätten, du machst dein System doch nicht allein dadurch sicher, weil du Spy- oder Virenscanner installierst. Die unbequeme Wahrheit ist: es gibt keine Sicherheit aus bunten Pappschachteln oder einfach über ein paar Klicks durch das Installieren von Gratissoftware.

Zitat:

Datenbank Version: 7035
Art des Suchlaufs: Quick-Scan
c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> No action taken.
c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> No action taken.

Hier stecken gleich drei Fehler:

1. Malwarebytes wurde nicht aktualisiert vor dem Scannen, ob extra nochmal der Hinweis von mir kam
2. Du solltest einen Vollscan machen und keinen Quickscan.
3. No Action taken => du hast die Funde nicht entfernt, dabei steht auch in der Anleitung zu Malwarebytes, dass diese entfernt werden müssen

Was ist mit meiner Frage ob es noch mehr Logs von Malwarebytes gibt? Oder führst du das Tool zum ersten Mal aus?

Hi,
ja hab aus versehen via Editieren geantwortet, bzw. die logs nachgereicht. SORRY !

1) Hatte Malwarebytes als "aktuellste Version" rundergeladen und dachte man bräuchte keine aktuallisierung.
Werde es direkt aktuallisieren. Wie mache ich das manuell?
2) Wird dann ausgeführt.
3) Also, nach dem Voll-Scann, die Funde entfernen und dann nochmal scannen und die Lodfile posten?
Habe zum ersten mal mit dem Tool gearbeitet , bzw. etwas mit Viren, Würmer, Trojaner,... zu tun gehabt.

Entschuldige die "blöden" Fragen, dies ist alles Neuland für mich.
Aber danke für dein Verständnis und deine Mühe.

Gerald

Lies doch einfach mal die Anleitung zu Malwarebytes dann erübrigen sich jede Nachfragerei!

Scan läuft noch und wird auch noch eine weile laufen.
Was kannst Du, für einen guten Schutz empfehlen?

Gerald

Zitat:

Was kannst Du, für einen guten Schutz empfehlen?

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Hi,
danke für die Tipps.

Heute Nacht dauerte mir das Scannen zu lange und ich war auch sehr müde. Deshalb habe ich erst heute Morgen nach dem Ergeniss geschaut und die Funde gelöscht.
Die Logfiles (unter dem Reiter Logdateien) kann ich leider nicht richtig öffnen.
Mit welchem Programm kann ich die Logfiles auslesen, damit ich Sie posten kann?

Gerald

Zitat:

Mit welchem Programm kann ich die Logfiles auslesen, damit ich Sie posten kann?

Häh?
Einfach per Doppelklick! Wenn eine Fehlermeldung kommt diese dann auch posten, mit "ich kann nicht öffnen" kann ich nichts anfangen.

Jetzt hab ich es!
Ich hatte mal für meine Homepage-Logs ein Programm zu auslesen installiert. Die logs wurden dann nmit diesem Programm geöffnet. Mit dem Editor kann man jetzt etwas mit den logs anfangen.

Siehe:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7680

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.09.2011 06:43:19
mbam-log-2011-09-09 (06-43-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 315196
Laufzeit: 1 Stunde(n), 23 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\administrator\lokale einstellungen\Temp\121.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> Quarantined and deleted successfully.


Ist jetzt mein PC sauber, oder muß ich noch etwas tun?

Gruß Gerald

Waren das jetzt alle Logs von Malwarebytes?

Ja, da ich zum ersten mal Malwarebytes ausgeführt habe.
Ich habe jedoch nochmal den PC gescannt.
Hier die Log:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7688

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.09.2011 11:05:08
mbam-log-2011-09-10 (11-05-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 315455
Laufzeit: 1 Stunde(n), 41 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Vielen Dank nochmal für die tolle Unterstützung.

Gruß
Gerald

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset