Hallo Leute,
jetzt hats mich auch erwischt.
Als ich eben im Internet gesurft habe kam das hier auf einmal und ich konnte nichts mehr machen, außer runterfahren.

Da mein Windows lizensiert ist, wusste ich sofort dass da was faul ist im Staate Dänemark.

War natürlich nicht dumm und hab mein Tablet angeschmissen und nach dem Verursacher gesucht. Schnell hab ich die zahllosen Beiträge hier im Forum gefunden.
Also Windows im abgesicherten Modus gestartet. Da ich irgendwie kein Internet hatte, habe ich mich kurzerhand entschlossen alles was unter

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\myself\Lokale Einstellungen\Temp
         

liegt zu löschen. Nachdem ich wieder im normalen Modus hochgefahren habe war alles wieder i.O. Auch im Taskmanager ist nichts mehr von der Anwendung zu lesen. Registry scheint auch unter beiden Run-Ordnern OK zu sein. Steht nur das drin was ich wirklich starten will.

Nun bin ich mir aber nicht sicher ob ich ganz trojanerfrei bin und die Sache nicht gleich wieder auftritt.
Somit habe ich mich entschlossen auch mal den OTL durchlaufen zu lassen (mit dem Manual-Script von markusg). Also anbei die beiden Dateien.
Achso, OTL hat im Abgesicherten Modus keine Extra.txt geschrieben, also hab ich ihm im normalen Modus ausgeführt (nur zur Info). Als Virenprogramm habe ich das kostenfreie Antivir. Aber das wist ihr ja sobald ihr in den Anhang reinschaut.

Würde mich freuen in der Sache von jemanden zu hören. Vielen Dank schon mal.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Oh ha, da hab ich ja noch was zu tun heute Abend!

Wie kriege ich denn Antivir ausgeschaltet? oder soll ich das ganze mal im abgesicherten Modus ausführen?

AntiVir Wächter (Hintergrundscanner) deaktivieren, Regenschirm geschlossen?

Hey,
hat zwar ne Weile gedauert, aber ich habs noch hinbekommen.

Hier das MBAM-log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.11.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
myself :: X51R [Administrator]

11.02.2012 17:32:58
mbam-log-2012-02-11 (17-32-58).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 268460
Laufzeit: 43 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio.TB) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.RansomP.Gen) -> Daten: C:\DOKUME~1\myself\LOKALE~1\Temp\0.5993145564024175.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Programme\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Cryptload_1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\necessary\winrar_v3.9_with_key\byGab\Keygen(FFF)\Keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\winrar_v3.9_with_key\byGab\Keygen(FFF)\Keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

und hier das ESET-log

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0a6b042d3555044e83405a0e04c5fa3c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-11 10:19:21
# local_time=2012-02-11 11:19:21 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 3792 3792 0 0
# scanned=90344
# found=5
# cleaned=0
# scan_time=12483
C:\Dokumente und Einstellungen\myself\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\15cb8b68-2f540445	a variant of Java/Exploit.CVE-2011-3544.AK trojan (unable to clean)	00000000000000000000000000000000	I
D:\necessary\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\Frameshots.rar	a variant of Win32/Sefnit.AO trojan (unable to clean)	00000000000000000000000000000000	I
E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\Frameshots\fssetup.exe	a variant of Win32/Sefnit.AO trojan (unable to clean)	00000000000000000000000000000000	I
E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\Nero8\Nero-8.2.8.0_deu_trial.exe	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
         

die von MBAM gefundenen Sachen wurden natürlich schon entfernt.
Was soll ich nun mit den von ESET machen?
Wie schlimm sind die Infektionen einzustufen?

Zitat:

E:\Dokumente und Einstellungen\myself\Eigene Dateien\downloads\necessary\winrar_v3.9_with_key\byGab\Keygen(FFF)\Keygen.exe (Trojan.Agent.CK)

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

na wunderbar, da will man ehrlich sein und stellt das gesamte Log ein und dann sowas.
Das Zeug ist bestimmt zwei Jahre alt.
Damals war mir nicht bewusst was solches Zeug anrichten kann. Als wenn wir sowas nicht schon mal alle runtergeladen haben. Find ich etwas unfair das jetzt so anzuhandeln. Hätte mein Log ja auch einfach 'bereinigen' können.
Würde mich über eine PN oder ähnliches freuen, wie ich mit dem ESET Daten weiterverfahre.
Wie ich Neuistalliere weiß ich natürlich selbst.

Sry aber die Infos stehen hier alle, wenn du sie überliest ist es absolut unabgebracht von Unfairness zu reden!

http://www.trojaner-board.de/95393-c...-software.html

ich denke es liegt auf der Hand dass ich alle solche software sofort bei Fund lösche. Damals (vor 2-3 Jahren wurden sie nicht als solche erkannt).

Unfair finde ich nur, weil man keine Aussage mehr dazu erhält in wie weit die Funde als gefährlich einzustufen sind.

ESET und Malwarebytes finden nun keine Funde mehr!

Dennoch Danke an Euch.

Zitat:

Unfair finde ich nur, weil man keine Aussage mehr dazu erhält in wie weit die Funde als gefährlich einzustufen sind.

Ist irrelevant weil du eh neu installieren solltest. Nix unfair, so sind die Regeln hier.

Ende der Diskussion.