Hallo ihr fleißigen Helfer und Helferinnen,
da ich euere Seite durchgelesen habe, die zu meinem Problem erfolgreich Hilfestellung gab, bitte ich um Hilfe und Begleitung die Trojaner(??) trojan.small, trojan.sirefef und rootkit.0Access von meinem PC zu entfernen.
Betriebsystem Windows Vista, SP2.
Als Anhänge die olt.txt, extra.txt, gmer.txt, m-bamlog und defogger_disable.
Hoffe alle Infos sind nun vollständig und jemand erbarmt sich meiner!

Hi,

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Combofix runterladen (s. u.), nicht starten...

Rechner in den abgesicherten Modus (F8 beim Booten) starten und dann Combofix laufen lassen, Log posten...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

Danach MAM updaten und Fullscan..., Log posten...

chris

Danke, dass Du dich gemeldet hast. Dann mach ich mich mal an die Arbeit. Hoffentlich geht es gut. ist ja immer immens aufregend, so im inneren vom PC rumzuwühlen...

Hallo Chris4you,
eine Komplikation ist aufgetreten. Tdss killer ist korrekt durchgelaufen. Bei start von Combofix erscheint eine warnung:
"Achtung!!! combofix hat festgestellt das folgende real-time-scanner aktiv sind. antivirus: avira desktop, antispyware:avira desktop ... Bitte deaktiviere diese Scanner bevor du ok drückst"
aber Avira ist ausgschaltet, zumindest wird rechts unten nichts angezeigt und bei öffneb des startfensters zeigt avira das 3dienste nicht korrekt arbeiten, der Echtzeitscanner, der browserschutz und emailschutz ausgeschaltet sind. Was nun???

Hallo Chris4you,
weiss nicht in welchem Fenster ich schreiben soll.
Hier nochmal die gleiche Frage, sorry bin etwas unruhig.
Es sind Komplikationen aufgetreten. Tdss lief ganz normal durch. Combofix zeigt die Warnung, dass Avira antivirus und antispyware noch aktiv sind und ich sie unbedingt schließen muss. Avira selbst sagt diese scanner sind aus. Schreibe gerade vom Laptop weiss jetzt gar nicht weiter. Kannst du helfen??

Hier mal der Report tdss-Killer:

Habe gestern wegen oben genannter Probleme aufgehört. Würde gern weiter machen, geht aber nicht ohne Hilfe.
Habe Combofix nocheinmal runtergeladen und mit anderm Namen abgespeichert.
wenn ich diese als Administrator ausführe, habe ich gleichen Fehlermeldungen(??) wie gestern.Vorgehen:
wenn ich combofix wie angegen im abgesicherten Modus starte, erscheint bei backing up registry ein neues Fenster mit:
Warning! Error saving file C:\windows\erdnt\hiv-backup\security continue with next file[RegcreateKeyEx: 5 Zugriff verweigert] Soll ich weiter machen?
Gibt es jemand der helfen kann??

Meine letzte Nachricht ist leider nicht erschienen.
habe weiter gemacht, und es sind noch 5 oder 6 weitere files erschienen, die nicht gesichert wurden.
Da ich diese direkt über einen zweien Internetzugang eingetragen habe, weiss ich die Namen nicht mehr ganz genau. Die nächsten waren
C:\windows\erdnt\hiv-backup\system
C:\windows\erdnt\hiv-backup\sam
was mit
\0000001\user
\0000002\user
Dann erschien 2x kurz die Eieruhr und danach nichts mehr, hatte den Eindruck das das Programm nicht weiterläuft. Bildschirm weiterhin bunt mit icons
nach einer 1/4 Stunde habe ich PC runtergefahren, normal gestartet, die combofix. txt gesucht und nur eine combofix.3XE Datei gefunden, die ich gesnipt habe und angehängt.
Die Warnung, dass Avira noch läuft gab es auch nicht mehr.

Chris, ich warte bis du dich hier meldest und hoffe, dass ich mit meinen bisherigen Versuchen nichts Idiotisches unternommen habe.
Bis dahin, liebe Grüße inott
PS: eine Abfrage, die ich mit 1 und enter beantworten konnte gab es bisher nicht.

Hi,

bitte in den abgesicherten Modus (F8 beim Booten) booten und dann nochmal ComboFix starten. Wichtig dabei nichts weiteres am Rechner machen...

chris

So, jetzt hat es geklappt.
Combofix lief im abgesicherten Modus nicht. Nach den Meldungen (jetzt nochmal alle ordentlich aufgeführt)
c:\windows\erdnt\hiv-backup\security
c:\windows\erdnt\hiv-backup\software
c:\windows\erdnt\hiv-backup\system
c:\windows\erdnt\hiv-backup\default
c:\windows\erdnt\hiv-backup\sam
c:\windows\erdnt\hiv-backup\compo~2
c:\windows\erdnt\hiv-backup\bcd
c:\windows\erdnt\hiv-backup\users\00000001\ntuser.dat
c:\windows\erdnt\hiv-backup\users\00000002\ntuser.dat
c:\windows\erdnt\hiv-backup\users\00000003\ntuser.dat
c:\windows\erdnt\hiv-backup\users\00000004\usrClass.dat
können nicht gesichsert werden, kam Warnung dass Antvir noch läuft. Weitermachen? ja, gedrückt; kurz die Eieruhr zu sehen und dann eine Stunde ganz normal bunter Bildschirm.
Also habe ich Combofix im normalen Modus laufen lassen, lief ohne Probleme durch.
log-datei im Anhang.
Nochmal mit Malware gescannt, hatte jetzt auch meine externe Festplatte angehängt.
Fund auf Festplatte. Fund entfernen bei Malware gedrückt, zusätzlich diesen Ordner gelöscht. Scanne gleich nochmal. (ca. 1 Stunde)

Hi,

bist du als Administrator angemeldet? Es scheinen Zugriffsrechte zu fehlen...
CF hat die services.exe nicht erkannt...

Wir folgt verfahren:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\services.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Scan mit SystemLook
Suchen wir mal nach Backups von services.exe....
Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
32Bit
64Bit

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:filefind
services.exe
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch auf 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Hallo Chris,
habe gerade Deine Nachricht gelesen.
Hier ist der Scan von malware. Soll ich trotzdem, die von Dir aufgezeigten files überprüfen?
Als Administrator bin ich gemeldet und ich habe auch die Programme als Administrator ausgeführt.

Hoffe ich habe das kopiert, was du brauchst (Was ist ein HASH?)

Hi,

ja, ich möchte der "services.exe" noch auf der Spur bleiben...
Keiner findet was aber "supicies inside"...

chris

Schön, dass Du direkt da bist. Hallo erst mal.
Hier SystemLook.txt

Und auch Prevx.
Hat glaube ich nix gefunden.

Hi,

sieht nach Fehlalarm aus, ist eine ältere Version...
Meldet Avira noch was?

chris