Hallo zusammen,

meine Frau hat mir von ner Arbeitskollegin einen Laptop angeschleppt, der geht nicht mehr ins internet und ich sehr langsam. Erste Diagnose: Zugemüllt mit viren und trojanern allein schon im Autostart, erstmal alle deaktiviert und ich habe Malwarebytes laufen lassen, einmal gelöscht und hier dazu ne logfile:
Könnt ihr dazu was sagen? Mir helfen?

Datenbank Version: v2012.02.01.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Suba1 :: SUBA [Administrator]

Schutz: Aktiviert

01.02.2012 16:26:41
mbam-log-2012-02-01 (16-26-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 257929
Laufzeit: 1 Stunde(n), 57 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smad (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Update Server (Heuristics.Shuriken) -> Daten: C:\Dokumente und Einstellungen\NetworkService\5512a2ce-5689.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 25
C:\Dokumente und Einstellungen\NetworkService\5512a2ce-5689.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\51bfa1d3-526db085 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\5b1e46f7-19fb5b94 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\6vx9p4gkqs.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Anwendungsdaten\SanctionedMedia\Smad\Smad.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Temp\0.5854123284434933.exe (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Temp\0.6486493139338873.exe (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Temp\5efcd69-5689.tmp (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Temp\wramoxncse.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1960408961-1284227242-725345543-1004\Dc275.exe (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1960408961-1284227242-725345543-1004\Dc276.exe (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1960408961-1284227242-725345543-1004\Dc1092.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP101\A0027513.exe (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP101\A0027514.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP102\A0027754.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP114\A0034580.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP115\A0034648.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{4E0D592F-3F20-4C37-82C8-D853F255C042}\RP116\A0035173.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\0.024624729254010935.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\0.9908991763071026.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\_ex-68.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\_ex-89.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\bd1fd78d-5689.tmp (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\gwqrbc\setup.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\gxabfx\setup.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

ABER der Lapi blockiert alles updates, sei es Kaspersky windowsupdate etc.
und MBW meldet mir ständig das ausgehende ip's geblockt wurden.
zb. 83.133. 124 . 195 (sehr häufig) / 212.36. 9. 58 die online suche ergab das es irgendwas in Deutschland war und eine IP nach st. Petersburg
Der ESET Onlinescanner hat auch wieder 9 Dinger gefunden.

Gruß


Ps. ich muss das hier von meinem Rechner posten, da der lapi sogar das blockiert, wenn ich versucht habe das thema zu erstellen kam die gleiche fehlermeldung wie bei dem versuch windoof update zu starten.

hier noch die ESET log:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=23813e22db4a2c4f8f8f8db12f6a8bfa
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-01 08:51:42
# local_time=2012-02-01 09:51:42 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1281 16774489 100 100 32248 110765173 0 0
# compatibility_mode=8192 67108863 100 0 3822 3822 0 0
# scanned=58626
# found=11
# cleaned=10
# scan_time=5821
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\36a74529-20c18107 Java/Exploit.CVE-2011-3544.AA trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\2c00616d-41f0ecfe Java/Exploit.CVE-2011-3544.AA trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PG61LSJ9\index[8].htm JS/Kryptik.GA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZPU1H69Q\getimage[1].htm JS/Kryptik.GA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Suba1\Desktop\Fotos und mehr\Desktop\brasero.iso a variant of Win32/Adware.HotBar.H application (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Suba1\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Suba1\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000027 Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Suba1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000028 Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\WINDOWS\system32\drivers\dtsoftbus01.sys a variant of Win32/Rootkit.Kryptik.HW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} multiple threats 00000000000000000000000000000000 I

hi, finde mal bitte raus ob der besitzer mit dem pc onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches macht.

Also soweit sie sagt hat sie nichts gemacht. Zum Glück. Habe ausrichten lassen das Sie alle Passwörter die sie darüber benutzt hat ändern soll.
Am besten den Lapi Neu aufziehen oder? Muss ich ganz normal wie gewohnt formatieren oder muss ich vorher das ganze System reinigen.

hi, also sie macht schon onlinebanking oder? dann soll sie es zumindest der bank melden. da sind einige trojaner drauf.
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

nein kein Onlinebanking und zum glück auch nichts gekauft online, weil sie sich nicht getraut hat.

ok, aber bei dem befall würd ich trotzdem eher neu aufsetzen und dann vernünftig absichern.