Hallo zusammen,

ich habe vor drei Wochen eine Dummheit gemacht - nämlich mein gerade abgelaufenes Norton Antivirus nicht direkt verlängert. Das heißt, ich war ganze drei Wochen ohne Schutz. Vorgestern wunderte ich mich über folgendes: Ich googelte etwas und wurde beim Anklicken der Google-Ergebnisse auf ganz andere seltsame Seiten geleitet, die mit dem Google-Ergebnis nicht das Geringste zu tun hatten.

Gestern habe ich dann das verbesserte Programm Norton 360 gekauft und installiert und habe den Durchlauf gemacht. Bei einem Blick in den Sicherheitsverlauf des Programms fällt folgendes auf:

Alle paar Minuten kommt die Meldung:
"Ein Eindringversuch von MeinName-PC wurde blockiert"

Meine eigene IP greift an!!!

In den Details heißt es:
"System Infected: Cybot Backdoor Activity 4"

Und weiter:
"Der Angriff wurde von /Device/Harddiscvolume2/Users/MeinName/Appdata/Roaming/3E51D/A90DF.EXE verursacht"

Norton 360 gibt die Empfehlung: "Keine Aktion erforderlich"

Was heißt hier "Keine Aktion erforderlich"??? Mein System ist doch offenbar befallen, oder nicht???

Zitat:

Ich googelte etwas und wurde beim Anklicken der Google-Ergebnisse auf ganz andere seltsame Seiten geleitet, die mit dem Google-Ergebnis nicht das Geringste zu tun hatten.

Das passiert auch oft genug mit aktivem und aktuellen Virenscanner.
Warum: weil die Dinger unzuverlässig sind und gerade neue Schädlinge nicht erkennen. Es gibt deutlich wichtigere Maßnahmen als einen Virenscanner im Hintergrund zu betreiben.

Zitat:

Mein System ist doch offenbar befallen, oder nicht???

Doch, mit ziemlicher Sicherheit ja. Probier mal Malwarebytes und ESET wenn das nicht geht im abgesicherten Modus mit Netzwerktreibern probieren


Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Herzlichen Dank für den guten Tipp mit Malwarebytes!!! Ich hatte nicht nur einen, sondern sage und schreibe 5 Trojaner oder sowas...

Trojan.Gbot
Backdoor.Cym
Hijack.Shell.Gen
Trojan.Agent
PUM.Bad.Proxy



Habe nun alle gelöscht und unter Quarantaine gestellt.

Nun tritt ein neues Problem auf: Ich komme plötzlich nur noch über Internet Explorerer ins Web. Ich nutze eigentlich lieber die neue Firefox-Version.

Aber wenn ich jetzt nach der Trojaner-Sache Firefox öffnen will, dann kommt folgende Meldung:

Proxy-Server verweigert die Verbindung. Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist.

Was kann ich jetzt tun, um Firefox wieder nutzen zu können?

Zitat:

Habe nun alle gelöscht und unter Quarantaine gestellt.

Und warum postest du das Log nicht?
Diese Beschreibungsversuche sind einfach nur unnötig, einfach das angeforderte Log posten

So, die Firefox-Sache habe ich selbst in den Griff bekommen.

Auch gemäß ESET-Onlinescanner ist jetzt alles in Ordnung.

Jetzt hätte ich nur noch eine Frage: Muss ich nun Passwörter von Mailpostfächern, Banking, etc. ändern? Besteht die Möglichkeit, dass per Keylogger irgendwas von den Eindringlingen mitgelesen wurde?

Hier jetzt mal alle Meldungen, die beim Malewarescan angezeigt wurden:

Code: Alles auswählenAufklappen

ATTFilter

 
Infizierte Speicherprozesse: 3
C:\Users\MeinName\AppData\Roaming\3E51D\A90DF.exe (Trojan.Gbot) -> 1684
C:\Users\MeinName\AppData\Roaming\1D712\lvvm.exe (Trojan.Gbot) -> 748
C:\Users\MeinName\AppData\Roaming\Microsoft\DF63\197.exe (Trojan.Gbot) -> 3460

Infizierte Registrierungswerte: 5
HKCU/Software/Microsoft\Windows\CurrentVersion\RunI197.exe (Trojan.Gbot) -> Daten: C:\Users\MeinName\AppData\Roaming\Microsoft\DF63\197.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows I Load (Backdoor.CycBot) -> Daten: C:\Users\MeinName\AppData\Roaming\1D712\lvvm.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Daten: explorer.exe, C:\Users\AppData\Roaming\3E51D\A90DF.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run I Brother (Trojan.Agent) -> Daten: C:\Users\MeinName\AppData\Roaming\csrss.exe ->
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings I ProxyServer (Pum.Bad.Proxy) -> Daten: http=127.0.0.1:53192

Infizierte Dateiobjekte der Registrierung: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows I Load (Trojan.Gbot) -> Bösartig: (C:\Users\MeinName\AppData\Roaming\1D712\lvmm.exe)

Infizierte Dateien: 5
C:\Users\MeinName\AppData\Roaming\3E51D\A90DF.exe (Trojan.Gbot)
C:\Users\MeinName\AppData\Roaming\1D712.lvvm.exe (Trojan.Gbot)
C:\Users\MeinName\AppData\Roaming\Microsoft\DF63\197.exe (Trojan.Gbot)
C:\Users\MeinName\AppData\Roaming\firefox.exe (Trojan.Gbot)
C:\Users\MeinName\AppData\Roaming\Microsoft\DF63\F7A9.tmp (Trojan.Gbot)
         

@Cosinus: Bitte um Entschuldigung! Bin nicht gerade so der PC-Profi... Daher hat das mit dem Log auch was länger gedauert. Habe es ausgedruckt und alles nochmal per Hand abgetippt... :-(

Bitte das komplette Log posten und nicht einfach irgendwas weglassen!