Hallo

Ich habe mir diesen bekannten national cyber crimes unit trojaner einfangen,wie soll ich jetzt genau vorgehen um ihn zu entfernen?

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo

ich habe mitlerweile den Rechner neu formatiert.Der Trojaner "scheint" weg zu sein.Sollte ich nochmal was überprüfen?

Mach einfach zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo

@cosinus

Danke erstmal für deine Hilfe.
Hier die die log.texte

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.30.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
donut :: DONUT-PC [Administrator]

Schutz: Deaktiviert

30.01.2012 13:54:38
mbam-log-2012-01-30 (13-54-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 395121
Laufzeit: 46 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/30/2012 at 04:40 PM

Application Version : 5.0.1142

Core Rules Database Version : 8178
Trace Rules Database Version: 5990

Scan type       : Complete Scan
Total Scan Time : 01:47:45

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 456
Memory threats detected   : 0
Registry items scanned    : 39541
Registry threats detected : 0
File items scanned        : 241859
File threats detected     : 4

Adware.Tracking Cookie
	C:\USERS\DONUT\AppData\Roaming\Microsoft\Windows\Cookies\Low\donut@atdmt[1].txt [ Cookie:donut@atdmt.com/ ]
	C:\USERS\DONUT\AppData\Roaming\Microsoft\Windows\Cookies\Low\donut@imrworldwide[2].txt [ Cookie:donut@imrworldwide.com/cgi-bin ]
	C:\USERS\DONUT\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\DONUT@DOUBLECLICK[2].TXT [ /DOUBLECLICK ]
	C:\USERS\DONUT\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\DONUT@C.ATDMT[2].TXT [ /C.ATDMT ]
         

nach dem zweiten durchlauf

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/30/2012 at 07:55 PM

Application Version : 5.0.1142

Core Rules Database Version : 8179
Trace Rules Database Version: 5991

Scan type       : Complete Scan
Total Scan Time : 01:38:23

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 453
Memory threats detected   : 0
Registry items scanned    : 39556
Registry threats detected : 0
File items scanned        : 241904
File threats detected     : 0
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=12
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e90857f0e0f97844a508d1ff5db56616
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-30 07:32:31
# local_time=2012-01-30 08:32:31 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 26746 26746 0 0
# compatibility_mode=5893 16776573 100 94 22391170 79579968 0 0
# compatibility_mode=8192 67108863 100 0 3881 3881 0 0
# scanned=235303
# found=0
# cleaned=0
# scan_time=1854
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=12
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e90857f0e0f97844a508d1ff5db56616
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-31 05:14:08
# local_time=2012-01-31 06:14:08 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 103216 103216 0 0
# compatibility_mode=5893 16776573 100 94 74529 79656438 0 0
# compatibility_mode=8192 67108863 100 0 80351 80351 0 0
# scanned=163432
# found=0
# cleaned=0
# scan_time=3481
         

Nur Cookies. Ich denke du bist überm Berg. Lass abernochmal den MBR checken:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-02 16:21:29
-----------------------------
16:21:29.969    OS Version: Windows x64 6.1.7601 Service Pack 1
16:21:29.969    Number of processors: 4 586 0x2A07
16:21:29.969    ComputerName: DONUT-PC  UserName: donut
16:21:31.451    Initialize success
16:21:34.212    AVAST engine defs: 12020201
16:22:11.012    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
16:22:11.028    Disk 0 Vendor: ST9500325AS 0003SDM1 Size: 476940MB BusType: 11
16:22:11.059    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1
16:22:11.059    Disk 1 Vendor: ST9500325AS 0003SDM1 Size: 476940MB BusType: 11
16:22:11.137    Disk 1 MBR read successfully
16:22:11.153    Disk 1 MBR scan
16:22:11.153    Disk 1 Windows 7 default MBR code
16:22:11.168    Disk 1 Partition 1 00     07    HPFS/NTFS NTFS       476939 MB offset 2048
16:22:11.184    Service scanning
16:22:11.995    Service KL1 C:\Windows\system32\DRIVERS\kl1.sys **LOCKED** 5
16:22:11.995    Service kl2 C:\Windows\system32\DRIVERS\kl2.sys **LOCKED** 5
16:22:11.995    Service KLIM6 C:\Windows\system32\DRIVERS\klim6.sys **LOCKED** 5
16:22:11.995    Service klmouflt C:\Windows\system32\DRIVERS\klmouflt.sys **LOCKED** 5
16:22:13.196    Modules scanning
16:22:13.196    Disk 1 trace - called modules:
16:22:13.290    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
16:22:13.306    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8007e74790]
16:22:13.306    3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> [0xfffffa8007bac520]
16:22:13.321    5 ACPI.sys[fffff88000e0b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa8007ba9680]
16:22:14.335    AVAST engine scan C:\Windows
16:22:21.886    AVAST engine scan C:\Windows\system32
16:24:23.394    AVAST engine scan C:\Windows\system32\drivers
16:24:32.193    AVAST engine scan C:\Users\donut
16:27:11.391    AVAST engine scan C:\ProgramData
16:28:32.031    Scan finished successfully
16:49:18.113    Disk 1 MBR has been saved successfully to "C:\Users\donut\Desktop\MBR.dat"
16:49:18.113    The log file has been saved successfully to "C:\Users\donut\Desktop\aswMBR.txt"
         

Auch der MBR ist ok
Noch Probleme?