Gleiche Symptome trotz Virenbereinigung

Ifron · 22.09.2011, 22:06

Einen wunderschönen guten Abend,

ich habe letztens von einem Freund ein Netbook geschenkt bekommen, weil er die Arbeit einer Virenbereinigung nicht in kauf nehmen wollte. Da ich mich schon einmal mit einem Virenbefall an euch gewandt habe und mehr als zufrieden war, würde ich mich freuen, wenn das nochmal so gut klappen könnte.

Im Allgemeinen habe ich das Problem, dass es meistens direkt nach dem Start des Netbooks dazu kommt, dass der Bildschirm schwarz bleibt und in der oberen linken Ecke dieser "DOS mäßige kleine Eingabestrich" blinkt, es tut sich aber nichts.

Dies kann ich mit einem Neustart und ins Bios gehen überbrücken.

Die Malware habe ich mit "Malwarebytes Antimalware" entfernt.
Hier die logfiles des Durchlaufs:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7772

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.09.2011 19:23:13
mbam-log-2011-09-22 (19-23-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 219026
Laufzeit: 1 Stunde(n), 0 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> 1732 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.FakeAlert) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Bad: (C:\WINDOWS\system32\sdra64.exe) Good: () -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066658.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066724.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\armageddon\lokale einstellungen\Temp\plathidip.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.

Des weiteren sind die Ladezeiten des Netbooks sowohl beim Hochfahren als auch bei ganz normalen Aktionen wie z.B. das Löschen von Verknüpfungen vom Desktop vollkommen unakzeptabel lang.

Außerdem öffnet sich ständig ein kleines Fenster, dass mich fragt (sofern ich nicht online bin) ob ich im offline Betrieb weiterarbeiten möchte. Bin ich Online, kommt diese Anfrage nicht, aber Malwarebytes blockiert eine IP Adresse die den Status "ausgehend" hat.

Nun zur Standartprozedur:

Die GMER logs befinden sich aus Platzgründen im Anhang...

Defogger habe ich auch benutzt.

Bei OTL gab es leider Probleme...
Sobald ich auf Quick Scan klicke hängt sich das Programm auf.
Neustart habe ich probiert... mehrfach...

Zu guter letzt möchte ich betonen, dass ich das Netbook wie gesagt vor kurzem erst bekommen habe und ich keinerlei Wert auf die sich darauf befindenden Daten lege. Ganz im Gegenteil... mir wäre eine komplette Windows Neuinstallation inklusive Formatierung von den Partitionen C und D sogar viel lieber, da es sich aber um ein Netbook handelt, habe ich weder CD- noch Floppy-Laufwerk. Ich bin zwar im Besitz einer Windows XP Version (übrigens auch derzeitig auf dem Netbook installiert) aber mit der "Inhalt von der CD auf den USB Stick laden und im Bios als erstes Bootdevice einstellen" Methode hatte ich kein Glück.

Ich bin auch wirklich nicht so der PC Kenner.

Entschuldigung dass der Text so lang ist, kürzer wusste ich mich aber nicht auszudrücken.

Ich hoffe ihr könnt mir wieder so kompetent helfen wie M-K-D-B beim letzten Mal.

Vielen Dank schonmal im vorraus und einen schönen Abend.

Gruß

Ifron

Gleiche Symptome trotz Virenbereinigung

Plagegeister aller Art und deren Bekämpfung: Gleiche Symptome trotz Virenbereinigung

Gleiche Symptome trotz Virenbereinigung

Ähnliche Themen: Gleiche Symptome trotz Virenbereinigung