Hallo,

ich habe seit einiger Zeit den Sparkassen-Trojaner und noch irgendwas anderes auf dem Rechner. Ich habe auf jeden Fall auch das Problem mit den Suchmaschinen, dass ich bei dem öffnen der Links auf irgendwelchen anderen Seiten lande.
Anhang sind meine Log-Dateien.

Schonmal vielen Dank für die Hilfe!

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

hier ist schonmal die Log-Datei von dem Malwarebytes-scan.
Die Log des ESET Scans folgt.

schönen gruß

So der ESET-Scan ist auch durch.
88 Threats gefunden.

als LOG-Datei kamen dann nur die drei Zeilen raus:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK

Die ganzen Gefahren habe ich nochmal als Datei angehangen. Die habe ich nach dem Scan mal kopiert. Ich hoffe das hilft weiter.

Mach ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hier die nächste Log-Datei

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.12.14 20:54:09 | 000,177,152 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\EADCE\620AC.exe
PRC - [2011.12.14 20:50:42 | 000,290,816 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\Microsoft\ACDE\66C.exe
PRC - [2011.12.14 19:25:21 | 000,193,024 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe
PRC - [2011.11.17 14:27:20 | 000,182,784 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\Yxas\upec.exe
MOD - [2011.12.14 20:54:09 | 000,177,152 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\EADCE\620AC.exe
MOD - [2011.12.14 20:50:42 | 000,290,816 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\Microsoft\ACDE\66C.exe
MOD - [2011.12.14 19:25:21 | 000,193,024 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe
MOD - [2011.11.17 14:27:20 | 000,182,784 | ---- | M] () -- C:\Users\emkeido31\AppData\Roaming\Yxas\upec.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://toshiba.msn.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://toshiba.msn.com
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:56101
FF - prefs.js..browser.startup.homepage: "http://www.comunio.de/"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 56101
FF - prefs.js..network.proxy.type: 1
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (QuickNet BHO) - {EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - C:\Programme\RegTweaker\key.dll (QuickNet)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [66C.exe] C:\Program Files (x86)\LP\ACDE\66C.exe File not found
O4 - HKLM..\Run: [CEB.exe] C:\Program Files (x86)\LP\4258\CEB.exe File not found
O4 - HKCU..\Run: [2F7ZUJ7G7IWWVYXDHGTTBGDKHLS] C:\SystemData\217FA966DD4.exe /q File not found
O4 - HKCU..\Run: [5A1.exe] C:\Users\emkeido31\AppData\Roaming\Microsoft\DAEE\5A1.exe File not found
O4 - HKCU..\Run: [66C.exe] C:\Users\emkeido31\AppData\Roaming\Microsoft\ACDE\66C.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKCU..\Run: [upec.exe] C:\Users\emkeido31\AppData\Roaming\Yxas\upec.exe ()
F3:64bit: - HKCU WinNT: Load - (C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe) - C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe ()
F3 - HKCU WinNT: Load - (C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe) -C:\Users\emkeido31\AppData\Roaming\CEBCC\lvvm.exe ()
O20 - HKCU Winlogon: Shell - (C:\Users\emkeido31\AppData\Roaming\EADCE\620AC.exe) -C:\Users\emkeido31\AppData\Roaming\EADCE\620AC.exe ()
[2011.10.25 15:35:51 | 000,095,232 | ---- | C] () -- C:\Windows\SysWow64\0.9990834894359059.exe
[2011.10.14 19:50:54 | 000,000,000 | ---- | C] () -- C:\Windows\SysWow64\0.7750548590366629.exe
[2011.12.14 20:49:29 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\7F0F4
[2011.12.14 20:49:29 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\8987F
[2011.10.23 12:35:38 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Aclyi
[2011.12.12 20:59:48 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\BSW
[2011.12.14 19:25:21 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\CEBCC
[2011.12.14 20:54:09 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\EADCE
[2011.10.23 16:37:39 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Ema
[2011.10.23 17:22:52 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Giebix
[2011.10.23 14:46:45 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Huacc
[2011.10.23 12:10:34 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Idmi
[2011.10.23 16:37:39 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Luap
[2011.10.23 12:10:34 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Piw
[2011.12.15 18:53:54 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Sodo
[2011.10.13 07:12:43 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Sodoi
[2011.10.23 12:35:38 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Xez
[2011.10.23 17:22:52 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Xifahao
[2011.10.14 19:32:46 | 000,000,000 | ---D | M] -- C:\Users\emkeido31\AppData\Roaming\Yxas
[2011.10.26 09:43:00 | 000,000,396 | ---- | M] () -- C:\Windows\Tasks\At1.job
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sooo, die nächste Log-Datei.

Ich bin schwer begeistert, wie schnell mir hier geholfen wird!

Danke dafür

Ok, mach zur KOntrolle bitte ein neues OTL-Log, da musste ja doch ein wenig mehr gefixt werden und dann wird es etwas unübersichtlich.

Sollte ich den benutzerdefinierten scan von oben wiederholen oder den "üblichen"?

Falls es der benutzerdefinierte sein sollte ihr hier die Log-Datei

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

hier die nächste Log...

Zitat:

20:11:48.0650 3968 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - skipped by user

20:11:48.0650 3968 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Skip

20:11:48.0650 3968 \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user

20:11:48.0650 3968 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip

Das bitte unbedingt mit dem TDSS-Killer fixen (löschen)
Starte Windows danach neu und mach ein neues Log mit dem TDSS-Killer

Nach dem fixen und einem Neustart ergab der Scan jetzt diese Log-Datei

Zitat:

22:20:19.0592 1896 \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user
22:20:19.0592 1896 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip

Den solltest du auch fixen...bitte nachholen!