Hallo liebes Team,
habe seit 5 Tagen folgendes Problem. Nach Windows- und Adobe Update (eins von beiden wirds wohl sein) habe ich Trojaner an Bord. Trend Micro hat das System komplett blockiert, deshalb habe ich Trend Micro deinstalliert und Malwarebytes installiert. Beim Scann fallen immer diese 4 Trojaner im Installer Verz. auf, die nach Quarantäne und Neustart schnell wieder da sind.
Was tun?

hier das Logfile:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.16.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
chef :: IBL-PC-LL71 [Administrator]

Schutz: Aktiviert

16.07.2012 11:25:31
mbam-log-2012-07-16 (11-33-10).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 305856
Laufzeit: 6 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

Infizierte Dateien: 5
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt.
C:\Program Files\RelevantKnowledge\shfscp.dat (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

(Ende)


Vielen Dank im voraus für die Hilfe
Grüsse
Venividi

Hi,

das ist ein Rootkit, meist ist noch ein regulärer Treiber infiziert.
Das geht nicht so einfach, auch musst Du einen Fullscan machen... Teile davon liegen noch in anderen Bereichen...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

chris

Lieber Chris,

bevor ich starte: soll ich jetzt gleich beide Tools nacheinander laufen lassen, oder erst das eine, dann Ergebnis posten und dann das andere ?

Hi,

ist egal, beides sind nur Analyseläufe...

chris

lieber Chris
hier die Dateien
Wie kann man sich eigentlich erkenntlich zeigen? Kontonummer?

Grüssle
Venividi

Hallo Chris,

hier noch Ergebnis "Vollständiger Scan" Laufwerk C:

Grüssle