Hallo,
anscheindend hat es mich jetzt auch erwischt:
Ich wollte im Internet einen Film ansehen und bin wohl einem Trojaner aufgesessen.
Da ich nicht einfach die Anweisungen für die anderen befolgen soll, brauche ich jetzt wohl auch Eure Hilfe.
Jedes Mal wenn ich den Laptop starte erscheind kurz der Desktop, ohne dass ich irgendetwas anklicken kann. Danach erscheind sofort dieser weiße Bildschirm mit der Meldung dass keine Internetverbindung besteht.
Der Taskmanager blitzt kurz auf, verschwindet aber sofort wieder.
Wenn ich aber ein zwei mal versuche, ihn zu öffnen und esc drücke verschwindet der weiße Bildschirm und der leere Desktop erscheint, allerdings ohne die Taskleiste.
Microsoft Securita essentials öffnet dann ein Fenster:
von MSE wurden Elemente auf dem Computer ermittelt, die nicht erkannt wurden. Ich werde dann noch aufgefordert dieses zu senden.
Die ermittelte Datei lautet : C:\ProgramData\idafxeql.exe
Dies kommt jedesmal wieder.
Danach kann ich auch den Taskmanager öffnen, in dem aber nichts angezeigt wird.
Über die Funktion neuer Task konnte ich meinen microsoft essentials starten, welcher auch ein paar Trojaner gefunden hat. Leider dachte ich, damit wäre das Problem behoben und habe die ganzen Funde gelöscht.
Ich hoffe es kann mir trotzdem jemand helfen!!!
verzweifelte Grüße Simone

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ja, das funktioniert!
Hab ich soeben gemacht, jetzt hab ich den schwarzen Desktop und das Hilfe-Fenster von Windows hat sich geöffnet.

Internetverbindung funktioniert auch...

Bevor wir uns jetzt hier abmühen, hab ich noch eine Frage:
Da ich keine wichtigen Dateien oder so auf dem Laptop habe - lässt sich dieser Trojaner durch ein Neuaufspielen des Betriebssystems vielleicht ausmerzen?
Wenn ja könnte ich das einfach so machen, wenn das aber nicht zuverlässig ist, dann bräuchte ich weiterhin Deine Hilfe!
Liebe Grüße
Simone

Wenn dieser Modus funktioniert, kannst du erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo,
Jetzt geht der abgesicherte Modus auch nicht mehr...
ich hab es zwar geschafft beim Starten des PCs die erweiterten Startoptionen mit den Auswahlmöglichkeiten zu bekommen. Die Markierung steht aber auf COMPUTER REPARIEREN und lässt sich weder mit Pfeiltasten oder irgendeiner anderen Taste auf die Option Abgesicherter Modus steuern.
Ich kann aber auch nicht mit der Enter-Taste die markierte Stelle bestätigen, genauso funktioniert auch esc nicht!
Ich habe auch schon versucht den PC neu zu starten aber es ist wieder das gleiche...

Meine Frage bezüglich der Neuinstallation von Windows 7 hast Du mir nicht beantwortet! Bringt das was, oder hab ich dann den Trojaner immer noch?

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.07.08

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Amata :: AMATA-VAIO [Administrator]

Schutz: Deaktiviert

07.09.2012 14:33:54
mbam-log-2012-09-07 (14-33-54).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 188311
Laufzeit: 3 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|idafxeqlyjthtmj (Trojan.Ransom) -> Daten: C:\ProgramData\idafxeql.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\idafxeql.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Amata\AppData\Local\Temp\guy12.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Jetzt funktioniert es doch :-)

und die eset-Logs:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Amata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K87SU7X0\firstload_com[1].htm	HTML/Hoax.FastDownload.C.Gen Anwendung
C:\Users\Amata\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\39996fe3-7f1dc271	Java/Exploit.Agent.NDH Trojaner
         

Zitat:

Meine Frage bezüglich der Neuinstallation von Windows 7 hast Du mir nicht beantwortet! Bringt das was, oder hab ich dann den Trojaner immer noch?

Schonmal auf die Idee gekommen, auf das Wort Neuinstallation zu klicken?!
Da steht doch alles beschrieben!

Ja, bin ich ;-)
Bin nur in meinem Fall nicht schlauer geworden...
Da steht:
Dadurch werden alle Daten inkl. fast jede Schadsoftware aus Sicht des Dateisystems entfernt und man erhält üblicherweise ein sauberes, übersichtliches System.
... und was heißt das jetzt für mich? Mit FAST möchte ich mich ungern zufrieden geben ;-)

Hallo Cosinus,
Ich hab grad mal ein bisschen in Deinen anderen Beiträgen gelesen....
meiner normaler Modus funktioniert wieder und so wie es aussieht fehlt mir auch nichts...

Ich weiß, ich bin ungeduldig, aber ich vermisse mein geliebtes Laptop

Meine Güte, zähl doch nur mal 1 und 1 zusammen
Wenn du C durch eine Formatierung komplett löschst und dann alles von einem sauberen Datenträger neu installierst, was meinst du wohl ist dann mit den Schädlingen?
Das fast ist so schon richtig, kann aber hysterisch falsch verstanden werden. Bei einer Formatierung wird natürlich nicht der MBR (Master Boot Record) neu gemacht, eine Formatierung legt nur das Dateisystem neu fest. Aber der MBR wird bei einer Neuinstallation eh neu geschrieben.

Also denkst Du ist das der schnellere Weg?

Was der schnellere Weg ist kann man so pauschal garnicht sagen. Das kommt immer darauf an, wie der Rechner genau konfiguriert, wie lang die letzten Backups her sind, welche Erfahrungen du allgemein und speziell mit dem Thema Neuinstallation hast etc. pp.

Ich würde hier erstmal eine Bereinigung vorschlagen. Wenn du am Ball bleibst sollten wir damit normalerweise mit diesem Thema nach insgesamt 30 Postings durch sein.

OK.Dann lass uns das angehen...

Zitat:

Art des Suchlaufs: Quick-Scan

Ja dann mach mal wie ich beschrieb auch einen Vollscan mit Malwarebytes
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Guten Morgen,
hab ich gestern Nacht nochmal gemacht.
Irgendwie wurde aber nichts mehr gefunden (oder?) und in der Quarantäne ist auch nichts mehr!
Wird das automatisch nach einer gewissen Zeit gelöscht?

Hier der Vollscan von gestern 23.38 Uhr:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.07.13

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
***

Schutz: Aktiviert

11.09.2012 23:31:38
mbam-log-2012-09-11 (23-31-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 314381
Laufzeit: 56 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo,
hier die Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.001 - Datei am 09/12/2012 um 18:17:48 erstellt
# Aktualisiert am 09/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : ***
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4483O93Y\2-adwcleaner[1].exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Program Files\Conduit
Ordner Gefunden : C:\Program Files\DVDVideoSoftTB
Ordner Gefunden : C:\Program Files\Freeware.de
Ordner Gefunden : C:\Users\Amata\AppData\Local\Conduit
Ordner Gefunden : C:\Users\Amata\AppData\LocalLow\Conduit
Ordner Gefunden : C:\Users\Amata\AppData\LocalLow\DVDVideoSoftTB
Ordner Gefunden : C:\Users\Amata\AppData\LocalLow\Freeware.de
Ordner Gefunden : C:\Users\Amata\AppData\LocalLow\PriceGong

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\DVDVideoSoftTB
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Freeware.de
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gefunden : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7E111A5C-3D11-4F56-9463-5310C3C69025}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7E111A5C-3D11-4F56-9463-5310C3C69025}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{50BA0FF5-8CF4-4A36-8DF0-BDA26616252F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{7E111A5C-3D11-4F56-9463-5310C3C69025}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{D3F69D07-0AEE-47AF-87D0-1A67D4F70C68}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{D3F69D07-0AEE-47AF-87D0-1A67D4F70C68}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2269050
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2736476
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\DVDVideoSoftTB
Schlüssel Gefunden : HKLM\Software\Freeware.de
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{054C0F14-339E-4933-8979-1F8AE8787B92}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{124A608E-ECF6-437F-8911-80B2076D6DF2}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{654992AC-14D3-42E6-A323-296CAF967129}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A91CD1D6-452D-4196-A160-A4601EE46FA4}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E111A5C-3D11-4F56-9463-5310C3C69025}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{50BA0FF5-8CF4-4A36-8DF0-BDA26616252F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D3F69D07-0AEE-47AF-87D0-1A67D4F70C68}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D3F69D07-0AEE-47AF-87D0-1A67D4F70C68}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Freeware.de Toolbar
Schlüssel Gefunden : HKU\S-1-5-21-2722776490-35366883-3544162092-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7E111A5C-3D11-4F56-9463-5310C3C69025}]
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{872B5B88-9DB5-4310-BDD0-AC189557E5F5}]
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{7E111A5C-3D11-4F56-9463-5310C3C69025}]
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{872B5B88-9DB5-4310-BDD0-AC189557E5F5}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7E111A5C-3D11-4F56-9463-5310C3C69025}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{872B5B88-9DB5-4310-BDD0-AC189557E5F5}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{7E111A5C-3D11-4F56-9463-5310C3C69025}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{872B5B88-9DB5-4310-BDD0-AC189557E5F5}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v21.0.1180.89

Datei : C:\Users\Amata\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gefunden [l.13] : homepage = "hxxp://search.conduit.com/?ctid=CT2736476&SearchSource=48&sspv=CHSB12",
Gefunden [l.17] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT2736476&SearchSource=48&sspv=CHSB12" ]
Gefunden [l.1371] : homepage = "hxxp://search.conduit.com/?ctid=CT2736476&SearchSource=48&sspv=CHSB12",
Gefunden [l.1601] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT2736476&SearchSource=48&sspv=CHSB12" ]

*************************

AdwCleaner[R1].txt - [5970 octets] - [12/09/2012 18:17:48]

########## EOF - C:\AdwCleaner[R1].txt - [6030 octets] ##########