Hallo

Beim PC meines Vaters hat sich vor einiger Zeit ein Schadprogramm eingeschlichen. Es war der SUISA Trojaner, d.h. der PC wurde gesperrt. Da mein Vater den PC schnell wieder brauchte, habe ich ein Systemwiederherstellungspunkt wiederhergestellt (ca. eine Woche vorher erstellt). Damit ging der PC wieder und mein Vater konnte arbeiten.

Wahrscheinlich ist der Trojaner aber immer noch vorhanden und ich vermute, dass wohl noch mehr Schadsoftware vorhanden ist.

Ich bin jetzt alle Punkte in der Anleitung durchgegangen und habe alle nötigen Dateien erstellt, die ich in den Anhang geladen habe.

- Es handelt sich um Win XP 32-bit

- Auf dem PC ist Sophos installiert. 2 Objekte sind in der Quarantänte. Ein Screenshot von der Quarantäne + der Log von Sophos sind im Anhang (sophos_quarantäne.jpg und sophos_log.txt).

- Ich habe ein Scan mit Malwarebytes Anti-Malware ausgeführt, 4 Objekte wurden gefunden. Der Log ist im Anhang ( Malwarebytes Anti-Malware .txt).

- OTL.txt (aus Datenschutzgründen gewisse Stellen durch *** ersetzt) und Extra.txt sind im Anhang.

- Gmer.txt ist im Anhang.

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dw620003.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B62C721B-E1F2-4FFF-8464-076F40D10AC0}: Domain = dw620003.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B62C721B-E1F2-4FFF-8464-076F40D10AC0}: NameServer = 10.101.103.101
         

Das soll der PC von deinem Vater sein? Ihr habt zu Hause eine Windows-Server-Domäne?

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Es handelt sich um den PC meines Vaters, der in seinem Büro (bei uns zu Hause) steht. Er ist allerdings per LAN-Kabel an den Server im Geschäft meiner Eltern angebunden, wie übrigens auch mein PC (Geschäft befindet sich im gleichen Haus).

Wenn trotzdem jemand helfen möchte, wäre ich froh.

PS: Und ne IT-Abteilung oder so haben wir sowieso nicht, ist nur ne ganz kleine Firma (<5 Mitarbeiter).

Bitte erstmal routinemäßig einen neuen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Ok, ich werde das ausführen. Ich bin aber bis nächsten Mittwoch weg, werde dann aber sofort am Donnerstag die Logs posten. Bis dann...