Hallo
Ich habe mir letztens offensichtlich einen Trojaner downgeloded
Gemäss Anleitung habe ich den defogger auf meinen Desktop gedownloaded und als Administrator ausgeführt (Win7). Nach der Anwahl von "disable" wurde ich zum Bestätigen aufgefordert, worauf dann leider "unable to create log" angezeigt wird. Wie soll ich weiter vorgehen?

Besten Dank für die Mühe

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ja, ich habe mein Laptop jetzt im abgesicherten Modus mit Netzwerktreibern hochgefahren, aber der defogger reagiert immer noch nicht, d.h. "unable to create log".

na wenn der Modus geht wirst du erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo

Es hat etwas lange gedauert, aber ich hoffe, dass ich den Anweisungen richtig gefolgt bin.
Zuerst das malewarelog:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.23.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Benutzer :: BENUTZER-PC [Administrator]

Schutz: Aktiviert

23.05.2012 18:55:35
mbam-log-2012-05-24 (10-36-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496016
Laufzeit: 3 Stunde(n), 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 2
C:\ProgramData\UnXHpXtrAB.exe (Trojan.FakeHDD) -> 2688 -> Keine Aktion durchgeführt.
C:\ProgramData\dEALrSvqaxGNSn.exe (Trojan.FakeHDD) -> 3300 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|UnXHpXtrAB.exe (Trojan.FakeHDD) -> Daten: C:\ProgramData\UnXHpXtrAB.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\ProgramData\UnXHpXtrAB.exe (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\ProgramData\dEALrSvqaxGNSn.exe (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\Users\Benutzer\AppData\Local\Temp\aXRgmtVNsIyJee.exe.tmp (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\Users\Benutzer\AppData\Local\Temp\ICReinstall\MusicConverterSetup.exe (Adware.Agent) -> Keine Aktion durchgeführt.

(Ende)
         

dann das log.txt von Eset (sieht meiner Meinung nach etwas wenig sagend aus...)

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
         

Ich hoffe, dass man damit was anfangen kann.

Besten Dank im Voraus

Gruss,
Mark

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

ESET hast du wahrscheinlich falsch gemacht, da gab es extra einen dicken Hinweis zu

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Besten Dank für deine Unterstützung erstmals

Meinem Patienten scheints doch schon viel besser zu gehen, die lästige software regt sich zumindest nicht mehr.

Die von malewarebytes gemeldeten threats habe ich eigentlich entfernt, mache aber zur Sicherheit nochmals einen run.

Zitat:

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Auf die Gefahr hin, dass ich mich jetzt als saublöd zeige..., wo soll ich mit der rechten Maustaste hin klicken?

Danke

Rechtsklick auf FF oder IE => als Administrator ausführen
So stehts doch auch da

So, IE als admin gestartet und eset läuft.

malewarebytes Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.25.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Benutzer:: Benutzer-PC [Administrator]

Schutz: Aktiviert

25.05.2012 10:08:11
mbam-log-2012-05-25 (10-08-11).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 498414
Laufzeit: 2 Stunde(n), 41 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Das ist übrigens das Log vom ersten scan:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.23.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Benutzer:: Benutzer-PC [Administrator]

Schutz: Aktiviert

23.05.2012 18:55:35
mbam-log-2012-05-23 (18-55-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496016
Laufzeit: 3 Stunde(n), 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 2
C:\ProgramData\UnXHpXtrAB.exe (Trojan.FakeHDD) -> 2688 -> Löschen bei Neustart.
C:\ProgramData\dEALrSvqaxGNSn.exe (Trojan.FakeHDD) -> 3300 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|UnXHpXtrAB.exe (Trojan.FakeHDD) -> Daten: C:\ProgramData\UnXHpXtrAB.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\ProgramData\UnXHpXtrAB.exe (Trojan.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\dEALrSvqaxGNSn.exe (Trojan.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Benutzer\AppData\Local\Temp\aXRgmtVNsIyJee.exe.tmp (Trojan.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Benutzer\AppData\Local\Temp\ICReinstall\MusicConverterSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Gruss Mark

Und wieso postest du jetzt 2 Logs von Malwarebytes und nicht eins von ESET?

Hier ist das log von ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=173d84777dd48f4692bddb8b69246e9b
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-25 11:37:30
# local_time=2012-05-25 01:37:30 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 603385 74481351 4324 0
# compatibility_mode=5893 16776573 100 94 10687 89575721 0 0
# compatibility_mode=8192 67108863 100 0 94783 94783 0 0
# scanned=73778
# found=0
# cleaned=0
# scan_time=1319
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=173d84777dd48f4692bddb8b69246e9b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-25 01:58:27
# local_time=2012-05-25 03:58:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 604740 74482706 5679 0
# compatibility_mode=5893 16776573 100 94 12042 89577076 0 0
# compatibility_mode=8192 67108863 100 0 96138 96138 0 0
# scanned=318970
# found=2
# cleaned=0
# scan_time=8421
C:\Program Files\FoxTabAudioConverter\AudioConverter.exe	a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Benutzer\AppData\Local\Temp\is1972027439\MyBabylonTB.exe	a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
         

Gruss Mark

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ja, ich arbeite eigentlich im normalen modus und habe den Eindruck, dass alles normal läuft. Alle meine Programme, die an der Taskleiste angeknüpft, oder auf dem Desktop waren, sind ausgeblendet. Ich musste den IE neu anknüpfen, allerdings wird er mit einer (2) versehen....
Im Startmenu ist praktisch nichts mehr vorhanden, z.B. kein Office programm, auch unter "Dokumente" oder "Bilder" gähnende Leere....

Auch wenn ich den windows-explorer öffne, wird in vielen Ordnern angezeigt, dass sie leer seien, gehe ich aber auf Eigenschaften, bei z.B. eigene Bilder, finden sich unter Inhalt (vermutlich) alle Order.
Das war auch der Grund für

Zitat:

Auf die Gefahr hin, dass ich mich jetzt als saublöd zeige..., wo soll ich mit der rechten Maustaste hin klicken?

Ich musste den IE via Netzwerk-und Freigabecenter öffnen und dort gehts nicht mit der rechten Maustaste....

Ich habe mir schon überlegt, eine Systemwiederherstellung durch zu führen, auf einen Wiederherstellungspunkt vor dem Trojanerbefall, will aber erst abwarten, was du dazu meinst.

Nochmals Danke und freundliche Grüsse
Mark

So, jetzt wirds richtig geil
Ich habe gerade ein Telefon bekommen von so ner Type, die sich als Computerspezialist von Windows support center ausgegeben hat. Anscheinend generiere mein Computer tausende von Fehlermeldungen bei ihnen im system. Meine Windows registry werde in Kürze abgestellt, wenn ich nicht sofort was dagegen unternehme.... Für einen Spezialbetrag von ca. 150.-$ würden sie mir mein System wieder auf Vordermann bringen, dazu brauchen sie etwa 1.30 Std. freien Zugann auf meinen Laptop
Das Gerät wurde von mir natürlich sofort vom Netz genommen und heruntergefahren. Alle e-banking Verträge mal vorsichtshalber gesperrt.
Ich hab zum Glück noch nen andern Compi und bin mir schwer am überlegen, ob ich überhaupt weiter versuchen soll, die malware zu entfernen, oder ob ich die Kiste einfach auf den Müll schmeisse

mfG Mark

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne

Sieht schon recht ordentlich aus.
Kann man sagen, dass mein Laptop jetzt wieder ok ist?
Bekomm ich jetzt keine komische Telfonanrufe mehr, kann ich wieder bedenklos e-banking und so machen damit????

Vorest mal vielen dank für die gute Unterstützung
Gruss, Mark