Hallo,

hier haben ja schon einige das gleiche Problem...

Könnt ihr mir da helfen?

Danke!

harrung

Hi,
Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKU\Administrator_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKU\Regina_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 4297 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmnax.pif
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Regina_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Regina_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
[2012/03/30 10:52:17 | 000,240,128 | ---- | C] (jqUhg) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe
[2012/03/29 17:24:03 | 000,240,128 | ---- | C] (jqUhg) -- C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe
@Alternate Data Stream - 99 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EF89A86D
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:57B4E612
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3AEA6AF9

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
:Commands
[emptytemp]
[Reboot]
         

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo chris,

danke für die schnelle Hilfe!!!

Wie kann ein "Normalsterblicher" (außer du) aus dem ganzen log-file Wirrwarr das herausfinden, was wichtig ist für die Entfernung des Trojaners? Kann OTL nicht ein logfile erzeugen, dass man selbst als Fix nutzen kann? Das würde euch einiges an Arbeit sparen, oder?

Hier noch das Log vom MBAM!

Vielen Dank nochmal!

harrung

Hi,

nein, dann würde OTL wissen müssen, wo die Damen u. Herren Trojanerprogrammierer Ihre neuen Schäfchen "ablegen"...

Daher versucht OTL "nur" alle möglichen Startpunkte/verstecke anzuzeigen, das Ergebnis muß dann interpretiert werden (da es durchaus legitime SW an den Stellen geben kann)...

Bitte noch das LOG von OTL das er beim Fixen erstellt hat posten...

Zusätzlich:

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

chris

Hallo chris,

hier die gewünschten logs...

den GMER habe ich noch nicht ausgeführt. Ich warte, bis die Auswertung der logs da ist....

VG
harrung

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BX6kRBeYBXtpN21 deleted successfully.
C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe moved successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\BX6kRBeYBXtpN21 deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe moved successfully.
Registry value HKEY_USERS\Regina_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\BX6kRBeYBXtpN21 deleted successfully.
File C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\4297 deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_USERS\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\Regina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_USERS\Regina_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_USERS\Regina_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
File C:\Dokumente und Einstellungen\Regina\Anwendungsdaten\y6drxuj c7ti.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EF89A86D deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:57B4E612 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3AEA6AF9 deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 427375 bytes
->Temporary Internet Files folder emptied: 136433 bytes
->Flash cache emptied: 41 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 33093 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2111522 bytes

User: Regina
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1833045 bytes
->Java cache emptied: 26134158 bytes
->FireFox cache emptied: 58598842 bytes
->Flash cache emptied: 849 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 20392327 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 245760 bytes

Total Files Cleaned = 105.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 04022012_172214

Hier das Gmer-log....

Gruß
Harrung

Hi,

bitte noch das Log vom TDSS-Killer...

chris

Hallo Chris,

das hatte ich dir in der "report.txt" geschickt. War das nicht richtig?

harrung

Hi,

ok, übersehen...
Ist i. O., zwar viele nicht signierte Files...

Wenn sich der Rechner "normal" verhält, dann wären wir erstmal durch...

chris

Hallo,

der Rechner verhält sich eigentlich ganz normal... Soweit ich das beurteilen kann. Ist nicht meiner, sondern von meinem Nachbarn...

Aber läuft alles! Danke nochmal!
harrung