Nabend

Ich steh hier vor einem Rätsel und zwar hatte ich mir vorgestern noch den BKA Trojaner eingefangen und dann erstmal paar stunden dran gesässen um es wieder in den griff zubekommen. Erstmal möchte ich erklären was genau ich gemacht habe , allerdings habe ich jetzt auch nicht soviel erfahrung was das solche probleme mit dem pc angehen :

1. In den Abgesichertenmodus mit Eingabeaufforderung gegangen und die regedit aufgerufen. anschließten diese pfade überprüft auf das "Shell" verzeichnis wegen dem explorer.exe wert :

"HKEY_LOCAL_MASCHINE/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo "

Ebenfalls das ganze auch nochmal unter

"HKEY_CURRENT_USER/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo"

Bei HKEY_LOCAL_MASCHINE War unter Shell bereits der wert Explorer.exe eingetragen. Unter HKEY_CURRENT_USER habe ich merkwürdiger weise keinen eintrag namens Shell gefunden , ist das normal?.

Dann habe ich den Pc neugestartet und bin ich den Abgesicherten Modus mit Netzwerktreibern gegangne und habe die "msconfig" aufgerufen und dann den Reiter Autostarts ausgewählt mir sprang dann sofort das Systemstartelement " 0.38380274687559535.exe " Ins Auge mit Einem Russischen Namen Als Hersteller.

Also:
Systemstartelement: 0.38380274687559535.exe
Befehl: C:\Windows\System32\rundll32.exe C:\User\"""\AppData\Local\Temp\0.38380274687559535.exe,F1122
Ort: C:\Users\"""\AppData\RoamingMicrosoft\Windows\Start Menu\Programs\Startup

Ich habe den Harken des Autostarts dann entfernt und den Pc neugestartet ( Normal Hochgefahren ) und siehe da ich konnte wieder aggieren also es tat sich kein zahlungsscreen mehr auf. Aber damit war ich noch nicht fertig ich habe dann im normalen Windowsmode einmal den Ort des elementes aufgesucht auser einen leeren Startup ordner habe ich aber leider nichts gefunden ( sicht versteckter elemente ist an )
Laut ordner scan mit avast befanden sich dortdrin auch keine datein ( überrüfung von ordner und dateien abgeschlossen 1/1 ) Ich habe den Startup dann zur sicherheit dennoch gelöscht gehabt , habe ich was damit falsch gemacht?

Dann habe ich den Befehl pfad aufgesucht und dadrunter habe ich dann wirklich eine temp datei namens " 0.38380274687559535.exe " gefunden.
Ich habe sie dann mit rechtsklick gelöscht und den pc nochmal neugestartet.

Der Pc fährt nun normal hoch allerdings befindet sich im autostart immer noch die datei allerdings steht nun bei Hersteller Unbekannt also nichtmehr dieser russische name. Das ganze hat mich stuzig gemacht und ich habe den Pc scannen lassen:

AdawareFREE im normalen windows mode = Nichts gefunden auser zwei cookies

AvastFREE im normalen windows mode = Nichts gefunden.

Dann bin ich nochmal in den abgesicherten modus gegangen mit eingabeaufforderung und habe den Explorer aufgerufen mit " explorer.exe "

Dann habe ich meinen Mp3 Player angeschlossen aufdem sich die datei " Superantispyware " (nachdem ich sie mit meinem notebook runtergeladen hatte ) befand und habe das programm 2 mal durchlaufen lassen ebenso auch addaware:

Superantispyware = 127 Cookies
Add Aware = Nichts
Superantispyware = Nichts

Da er immer noch nichts weiteres fand bin ich nochmal in die regedit gegangen und habe folgende pfade überprüft:

HKEY_LOCAL_MASCHINE\Software\Microsoft\Windows\Cur rentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Unter diesen pfaden habe ich nichts verdächtiges gefunden.

Naja nun meine frage: Was meint ihr ist der trojaner somit wirklich verschwunden? gibt es noch andere möglichkeiten das system und prozesse zuchecken vllt mit hijack (weiß aber nicht wie genau das funktioniert vllt kann mir das ja einer kurz erklären) oder gibt es andere programme?

Und was ist mit dem Autostart dort befindet sich ja immer noch die datei , ist das ein fehler von windows oder versteckt sich der trojaner noch irgentwo?

Ich hoffe man kann mir hier weiterhelfen

MfG Chris

Hier noch ein screen von meinem Task

Was mir dabei gerade auffällt ist das es zweimal den Prozzes "netsession_win.exe" gibt oder ist das normal? Und der Prozzes " splwow64.exe " ist nun nichtmehr aktiv obwohl ich nichts geschlossen hatte er hat sich wohl von selber beendet. Mir ist der Prozzes auch unbekannt soweit ich weiß hatte ich diesen noch nie im Task.

Mir hat gestern jemand noch geraten Malwarebytes zuladen und das system damit zuchecken das hier ist das ergebnis:

_________________________________________

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.27.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Soapi :: SOAPI-PC [Administrator]

Schutz: Aktiviert

27.01.2012 19:27:19
mbam-log-2012-01-27 (19-27-19).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 376383
Laufzeit: 44 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Soapi\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\54\357047b6-744d1ac7 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

________________

2012/01/27 19:25:34 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 19:25:35 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 19:25:38 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 19:25:39 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 19:36:08 +0100 SOAPI-PC Soapi MESSAGE Executing scheduled update: Daily
2012/01/27 19:36:09 +0100 SOAPI-PC Soapi MESSAGE Database already up-to-date
2012/01/27 20:20:14 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 20:20:17 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 20:20:20 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 20:20:21 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 20:27:32 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 20:27:34 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 20:27:37 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 20:27:38 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 20:31:42 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 20:31:44 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 20:31:47 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 20:31:49 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 20:39:27 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 20:39:29 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 20:39:32 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 20:39:33 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:10:42 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 21:10:44 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 21:10:47 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 21:10:47 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:17:19 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 21:17:21 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 21:17:24 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 21:17:25 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:19:26 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection
2012/01/27 21:20:32 +0100 SOAPI-PC Soapi MESSAGE IP Protection stopped
2012/01/27 21:26:33 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 21:26:34 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:30:21 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection
2012/01/27 21:31:41 +0100 SOAPI-PC Soapi MESSAGE IP Protection stopped
2012/01/27 21:37:13 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 21:37:15 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 21:37:18 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 21:37:19 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:45:05 +0100 SOAPI-PC Soapi MESSAGE Starting protection
2012/01/27 21:45:07 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully
2012/01/27 21:45:10 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection
2012/01/27 21:45:11 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully
2012/01/27 21:46:45 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection

Allerdings bin ich mir jetzt nicht sicher ob es sich damit wirklich erledigt hat denn der autostart eintrag ist immer noch da.
Und habe ich vielleicht in meinem vorgang gegen den Trojaner etwas falsch gemacht oder war das alles richtig?