Hallo,
ich habe Google als Standard Suchmaschine bei Internet Explorer 8 eingestellt.
Google schaltet nach Eingabe des ersten Buchstaben im Suchfeld auf eine andere Eingabemaske um.
Ich glaube es ist die von Google Instant.
Danach kann ich erst mal keine weiteren Buchstaben im Suchfeld eingeben. Es dauert dann 20 Sekunden bis zu Minuten bis eine weitere Eingabe möglich ist. Die CPU Auslastung ist dann 100%.
Mit Firefox scheint es besser zu funktionieren.
Wenn ich Google Instant deaktiviere gehts auch wieder besser (da habe ich im Internet einige Informationen gefunden, daß evtl. Google Instant schuld ist)

Außerdem: Avira hat 'EXP/CVE-2010-4452.BZ' [exploit].
und 'EXP/CVE-2010-4452.BY' [exploit]. gefunden und mehrere Files in Quarantäne gelegt.
Ich weiß nicht ob es damit zu tun hat, aber das würde ich auch gerne zuverlässig beseitigen.

Weiß da jemand Bescheid und kann mir da bitte jemand helfen?

OTL, GMER und Extra Log-Files sind angehängt.

Hi,

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hi Chris,
Danke für die schnelle Antwort. Das ist ja super.
Ich habe alles nach Anleitung gemacht.
Combofix brachte 2 Meldung, dass nämlich vorhandene Antivirus Software noch läuft: Avira und Lavasoft und deaktiviert werden soll.
da war mir nicht klar wir das geht, da ich Avira deaktiviert hatte und
Lavasoft meines Erachten vorher schon deinstalliert war. Habe dann Avira deinstalliert und die Meldung zu Lavasoft ignoriert.
Jedenfalls habe ich jetzt die 3 Log File von Malwarebytes, Combofix und TDSS-Killer und stelle sie in den Anhang.
Nach TDDS-Killer wurde ein Neustart empfohlen, das habe ich gemacht.

Nach erstem kurzem Test scheint Google wieder gut zu reagieren.
Mal sehen ob das so bleibt.
War das nun das Problem: Backdoor.Win32.Sinowal.knf ?
Wie kann ich sehen, ob alles wieder ok ist?


Jedenfalls erst mal Vielen Vielen Dank

Siggi alias SAMOVAR

Hi,

der Port zur Reotesteuerung Deines Desktops istoffen:
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
Inwieweit das gewünschtist, weis ich nicht...

Du hatest Sinowal drauf, sofort alle Passwöerter (Homebanking, Email etc.) ändern...
22:53:24.0937 3484 \Device\Harddisk0\DR0 ( Backdoor.Win32.Sinowal.knf ) - infected
22:53:24.0937 3484 \Device\Harddisk0\DR0 - detected Backdoor.Win32.Sinowal.knf (0)

(Das passt ins Bild...)

Da nicht klar ist, was der unbekannte "RemoteUser" sonst noch alles auf Deinem Rechner angestellt har, empfehle ich Neuaufzusetzen ...

chris

Hi Chris,

ja auch hier nochmal Danke für die Tips. Das passt soweit.
Ich möchte das Neuaufsetzen aber möglichst vermeiden.
Das hätte ich ja sonst auch gleich machen können.
Habe für alle Fälle noch einen langsameren alten Rechner mit WINXP, den ich nur selten benutze.
Passwoerter hab ich geändert.
In meiner Windows Firewall habe ich den Haken vor Remote Desktop entfernt.
und wenn ich dann bei Remote Desktop Bearbeiten anklicke
erscheint TCP 3389 Subnetz (kein Haken gesetzt).
In der registry habe ich den Key
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"3389:TCP"= 3389:TCP:Remote Desktop
gelöscht und eine Kopie gemacht falls ich ihn doch brauche.

Hast Du noch weitere Ratschläge ? Wie kann ich testen ob ich noch weitere Probleme habe?

Viele Grüße

Siggi alias Samovar

Hi,

Du kannst zur Sichheit Cureit/Dr. Web von der Leine lassen...
Ansonsten mit Firefox und einem eingeschränkten Konto (Gast) und den Plguins NoScript und WOT surfen und natürlich die "Brain.exe" ab- und an bemühen ;o)...

Cureit
Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Hallo,

ich hab Dr. Web CureIt laufen lassen. Das Ergebnis ist hier

vcore.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Defs\Extended Wahrscheinlich DLOADER.Trojan

NPCIG.dll C:\Programme\Canon\MyCamera Download Plugin Trojan.DownLoader5.14918 Gelöscht.

VideoCacheView.exe C:\Programme\VideoCacheView Tool.PassView.404

A0235406.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP644 Wahrscheinlich DLOADER.Trojan

A0239027.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP653 Wahrscheinlich DLOADER.Trojan

A0240592.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP655 Wahrscheinlich DLOADER.Trojan

A0243718.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP656 Trojan.DownLoader5.14918 Gelöscht.

491d5d4f.qua D:\ProgramData\Avira\AntiVir Desktop\INFECTED BackDoor.Siggen.14342 Gelöscht.

trigger[1].js D:\Users\Siggi2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\N0TOCSCB Wahrscheinlich SCRIPT.Virus

Bem1: Festplatte D hat WIN7 installiert und ist sogut wie nie in Benutzung
Bem2: Ansonsten mit Firefox und einem eingeschränkten Konto (Gast) und den Plguins NoScript und WOT surfen und natürlich die "Brain.exe" ab- und an bemühen ;o)...
das verstehe ich nicht?

Was wären die nächsten Schritte?

Danke & Viele Grüße
SAMOVAR

Hi,

Systemwiederherstellung löschen...

Vista etc.:
Computer->rechts anklicken->Eigenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neu Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Wenn es keine Auffälligkeiten mehr gibt, wären wir erstmal durch...

chris