Hallo,
mein rechner (windows visia) hat sich gestern mit dem bka-trojaner infiziert. malware,ad aware, superantispyware haben keinen erfolg gebracht. ich habe via otl einen scan durchgeführt, und einen änderungseintrag gefunden, der zum zeitpunkt des ersten trojaner-auftritts passt:C:\Users\NAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.005483464823901163.exe.lnk
ich bin derzeit als"gast" auf meinem rechner unterwegs, der andere account ist vom virus befallen. kann ich irgendwie den o.g. eintrag löschen bzw. gehört der da hin?? bin leider kein profi, was die ganze "computerei" angeht.
hab zusätzlich das gesamte scan-protokoll von OTL beigefügt.
kann jemand helfen ????
gruesse,
maikb

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

hallo cosinus,
bin schon bei f-8 gescheitert. da geht bei windows vista nur in BOOT- Optionen via CD/DVD oder USB-Stick.
Habs aber dennoch geschafft, zumindest den virus lahmzulegen.
Bin via "msconfig" in den systemstart gegangen ud habe mir mal die programme angeschaut. da waren zwei programme, die bei HERSTELLER als "unbekannt" klassifiziert wurden. Einer war Hewlett PAckard, der andere irgendein holländisches Unternehmen mit ner komischen Programmbeschreibung.. irgendwas mit "Caffe" drin, hab den kompletten text vorhehr bei google geprüft, gabs aber nicht. Also, bei beiden den Aktivierungshaken raus, und nach einem Neustart war alles wieder i.O. Interessanterweise hat der ursprüngliche "Caffe" -Eintrag jetzte eine neue Bezeichung - nämlich 0.005483464823901163.exe, wie beim Scan mit OTL identifizert. Alles rätselhaft, wie kann ich diesen Eintrag nun endgültig löschen ?? Oder schadet der nicht, wenn er nicht mit einem Aktivierungshaken versehn ist, sprich kann ich ihn da lassen ??
vielen dank und grüße,
maikb

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

hallo,anbei der malware-logfile sowie das ergebnis aus dem ESET scan - hat nochmal 8 Viren gefunden!!
[code]malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8388

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19170

17.12.2011 22:42:47
mbam-log-2011-12-17 (22-42-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 427752
Laufzeit: 1 Stunde(n), 27 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
[code]

Den Log-file des ESET scans hab ich hier...

C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\42f0820f-2b6b5dd4 multiple threats deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\316b249c-52785b4a a variant of Java/Agent.DI trojan deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\375f56e3-6f2fb568 multiple threats deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\1c237774-13613d97 multiple threats deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\11c059b8-59b37691 Java/Exploit.CVE-2011-3544.D trojan deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\3a243af9-3cb4f15c multiple threats deleted - quarantined
C:\Users\USER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\4e40d289-37bbbd12 Java/Agent.DD trojan deleted - quarantined
C:\Users\Gast\Desktop\SweetImSetup.exe a variant of Win32/SweetIM.B application cleaned by deleting - quarantined


Sorry, das mit dem code funktioniert nicht recht....

Kann ich jetzt sicher sein, dass der Virus gelöscht wurde?

Viele Grüße,
maikb

Zitat:

Sorry, das mit dem code funktioniert nicht recht....

Dann machst du was falsch...
Das Log muss direkt zwischen den CODE-Tags

Mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread