Hallo,

ich habe es geschafft, mir einen Trojaner (schätze ich zumindest) einzufangen.

Er befindet sich in meinem Benutzer in den eigenen Dateien in keinem Unterordner und nennt sich motgymemixsa.exe. Im Internet finde ich leider nichts dazu, außer 2 ausländische Seiten.

Ich habe verschiedene Virenscanner laufen lassen, keiner hat ihn erkannt. Antivir, Spybot Search & Destroy, Trojan Remover und Spyware Fighter.

Wenn ich mit einer Software versuche, den Prozess zu beenden, bekomme ich Bluescreen und der Rechner startet neu.

Kann mir irgend jemand helfen?

hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Danke schon mal.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [motgymemixsa] C:\Users\Nadine\motgymemixsa.exe ()
MsConfig - StartUpReg: motgymemixsa - hkey= - key= - C:\Users\Nadine\motgymemixsa.exe ()
PRC - [2012.08.29 18:17:45 | 000,035,256 | ---- | M] () -- C:\Users\Nadine\motgymemixsa.exe
 :Files
C:\Users\Nadine\motgymemixsa.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Die Datei ist immer noch in den eigenen Dateien...

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\motgymemixsa deleted successfully.
File C:\Users\Nadine\motgymemixsa.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\motgymemixsa\ deleted successfully.
Unable to kill active process motgymemixsa.exe!
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: admin
->Flash cache emptied: 41620 bytes
 
User: All Users
 
User: Default
->Flash cache emptied: 41620 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Nadine
->Flash cache emptied: 2834363 bytes
 
User: Public
 
Total Flash Files Cleaned = 3,00 mb
 
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 289391 bytes
->Temporary Internet Files folder emptied: 281308 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Nadine
->Temp folder emptied: 1718 bytes
->Temporary Internet Files folder emptied: 13575582 bytes
->Java cache emptied: 5511180 bytes
->FireFox cache emptied: 62062584 bytes
->Google Chrome cache emptied: 6686315 bytes
->Apple Safari cache emptied: 16384 bytes
->Opera cache emptied: 13572773 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3814 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3531584 bytes
RecycleBin emptied: 73383 bytes
 
Total Files Cleaned = 101,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 09072012_165007

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found!
C:\Windows\temp\ffbshn5v.vbt moved successfully.

PendingFileRenameOperations files...
File C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found!
File C:\Windows\temp\ffbshn5v.vbt not found!

Registry entries deleted on Reboot...
         

Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

poste mir noch mal ein neues otl log bitte

Diesmal hat es mir keine Extras.txt erstellt...

Datei: OTL.zip empfangen

Vorgang erfolgreich abgeschlossen.

Noch mal ich... Kann es sein, dass sich dieser dämliche Trojaner oder was auch immer das ist, über FlashFXP auf allen Webseiten verbreitet, die ich in meiner Verbindungsliste gespeichert habe? Das wär echt fatal... Bzw. ist es schon...

Ich bitte noch einmal um Hilfe... Meine Kunden stehen Kopf... Und ich kann nicht helfen, solange ich diesen dämlichen Trojaner drauf habe...

Ich habe jetzt mal mein System "gesäubert" und nicht mehr benötigte Programme deinstalliert. Über Google bin ich auf Malwarebytes gestossen. Das Programm hat den Trojaner erkannt und ich konnte ihn erfolgreich entfernen.

Jetzt habe ich zur Sicherheit noch mal mit OTL ein Log erstellt, das lade ich hier hoch und würde mich freuen, wenn das noch mal jemand anschauen könnte. Nur ob jetzt wirklich alles in Ordnung ist.

Kann mir jemand sagen, was das jetzt genau war? Vielleicht auch wie das passiert sein kann? Und vor allem - hat das was mit meinen Kundenservern zu tun?

wer hat was von Malwarebytes geschrieben, dir ist schon klar, dass wir wochenende hatten?
wenn dir das nicht schnell genug geht, musst du eben in ein pc geschäft und dort für die geleistete arbeit zahlen.
wo ist vor allem das log?

Niemand hat was davon geschrieben. Ich hab einfach gegoogelt. Ich musste was tun, ich hatte wirklich Probleme mit meinen Kunden. Und das Programm hat das Ding eben erkannt, obwohl ich damit nicht gerechnet hatte.

Klar weiß ich das ihr Wochenende hattet. Ich hab doch auch keinem einen Vorwurf gemacht? Ich bin froh das ich hier Hilfe bekomme! Bitte nicht falsch auffassen.

Die OTL.txt habe ich in meinem Beitrag eingefügt. Eine Extras.txt hat es mir schon beim zweiten Scan nicht mehr erstellt. Weiß nicht warum.

Hab ich jetzt was falsch gemacht?

du sagst doch du hast Malwarebytes genutzt wo ist der bericht

Achso, sorry. Hier:

HTML-Code:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.09.03

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Nadine :: NADINE-PC [Administrator]

09.09.2012 16:11:10
mbam-log-2012-09-09 (16-11-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 481455
Laufzeit: 55 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\Schmidt-Pro (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|motgymemixsa (Trojan.Obfuscated) -> Daten: C:\Users\Nadine\motgymemixsa.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Nadine\motgymemixsa.exe (Trojan.Obfuscated) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nadine\AppData\Local\{1bc4c94b-384a-3f77-cc28-5f85a84cd1be}\n..vir (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

hi
wenn du den pc für onlinebanking nutzt, lasse es aufgrund des zero access rootkits sperren.
da man dieses nicht mit 100 %iger sicherheit entfernen kann:

der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Ich bin wirklich begeistert wie einem hier geholfen wird. Meinen Rechner setze ich am Wochenende neu auf. Wird eh mal wieder Zeit. Danke!