Hallo zusammen,

habe hier den Laptop meiner Tante, der wohl Besuch von diversen unerwünschten Viechern hat.
Habe, dem Leitfaden entsprechend, nur die Programme durchlaufen lassen, aber nix gelöscht. Die Logs finden sich im Anhang. Das GMER Log will sich nicht anhängen lassen, deswegen hier:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-08 22:37:33
Windows 5.1.2600 Service Pack 3 
Running: buxzx9pp.exe


---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\System32\Drivers\3ff9caf09a5aa14f.sys (*** hidden *** )    [BOOT] 3ff9caf09a5aa14f                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@ImagePath     \SystemRoot\System32\Drivers\3ff9caf09a5aa14f.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Group         Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@ErrorControl  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Type          1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Start         0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Tag           1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@DisplayName   ifywymeewb.exe
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@ImagePath         \SystemRoot\System32\Drivers\3ff9caf09a5aa14f.sys
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Group             Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@ErrorControl      0
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Type              1
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Start             0
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Tag               1
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@DisplayName       ifywymeewb.exe

---- EOF - GMER 1.0.15 ----
         

Danke!

Hi,

sofort von einem sauberen Rechner aus alle Passwörter ändern, keinerlei diesbezüglich Aktivitäten von diesem Rechner aus!
Da läuft ein Banker, d.h. wir müssen eigentlich den Rechner platt machen, das hier ist nur eine notdürftige Reinigung.

Alle Funde von MAM bereinigen lassen (falls noch nicht passiert)!

Download von ComboFix auf den Desktop, aber nicht aufrufen (s. u.)
OTL Fix ausführen, offline gehen und CF im abgesicherten Modus (F8 beim Booten) laufen lassen, alle Logs posten..

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [ifywymeewb] C:\Dokumente und Einstellungen\Christine\ifywymeewb.exe ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
[2012.07.06 10:45:10 | 000,066,896 | ---- | M] () -- C:\WINDOWS\System32\drivers\3ff9caf09a5aa14f.sys
[2012.07.06 10:40:44 | 000,032,768 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ifywymeewb.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

So, anbei die beiden Logs. Combofix hat sich nach dem Neustart beim Erstellen des Logs aufgehangen, weiß daher nicht, ob das Log vollständig ist.

Avira läuft jedenfalls wieder und die automatische Updatefunktion ist auch wieder aktiviert.

Hi,

das CF-Log ist nicht vollständig, bitte entweder neu posten oder CF noch mal im abgesicherten Modus laufen lassen...

Poste auch ein neues GMER- und OTL-Log...

chris
Ps.: Bin ab morgen 2 Tage unterwegs u. daher schlecht/nicht zu erreichen...

Hi, hier noch das GMER und otl Log. CF wird heute abend nachgereicht, darf jetzt nochmal arbeiten gehen .

Wenn alles wieder ok ist, was kann man machen, um den PC für Nutzer mit sehr beschränkten PC Kenntnissen sicherer zu machen? Was mir als Standardnutzer in den Sinn kommt:

- Nutzerkonto mit eingeschränkten Rechten
- Statt IE Firefox mit Adblock und WOT (und NoScript?)
- ...?

Hi,

komme max. morgen Abend (spät) dazu...

Rechner absichern:

Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos).
Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

chris