Hallo Zusammen,

bin jetzt einige Zeit ohne Sicherheitsprogramm (Kaspersky usw.) im Internet unterwegs gewesen. Sehr dämlich ich weiss. Und das musste ich jetzt büssen.

Habe mir die letzten Tage Gedanken gemacht welches Programm ich mir nun zulege und habe mit der Testversion von Kaspersky Internet Security 13 begonnen. Diese Testversion hat promt angeschlagen und zwar mit dem Backdoor.Win32.Sinowal.

Bei google hab ich schon ein bisschen gestöbert und hab gesehen, dass das wohl ein ziemlich heftiger genosse ist. Da ich eher ein User bin der vom PC selber nicht viel Ahnung hat ist das natürlich ein Problem, darum wende ich mich an Euch.

Folgende Bedrohungen hat die Kaspersky Testsofware gemeldet.
-> Backdoor.Win32.Sinowal.rfp unter C:\Windows\Temp\rdmnkxitnr.crx//plugin.dell

-> Backdoor.Win32.Sinowal.qom unter C:\Windows\Temp\rveilwsqta.rrx//plugin.dll

-> Backdoor.Win32.Sinowal.qom unter C:\Windows\Temp\rmulohbsddm.crx//plugin.dll

-> Backdoor.Win32.Sinowal.rfp unter C:\Windows\Temp\jskfwwhipk.crx//plugin.dell

Die Testversion zeigt an, dass eine Desinfektion nicht möglich ist und ich kann nur das Archiv löschen oder die Aktion überspringen.

Noch ein paar weitere Infos: Ich habe meinen Rechner in einem Hausnetzwerk mit 2 NAS-Festplatten und einer normalen externen Festplatte hängen. Der Rechner läuft mit Windows 7 Home Premium 64 Bit.
Online Banking mache ich im Moment nicht kaufe aber teilweise wie fast jeder im Internet ein (Paypal, Lastschriftverfahren bei Amazon).

Könnt Ihr mir hierzu weiterhelfen?

Die nächste grosse Dämlichkeit und Problem was ich habe ist, dass ich keine Notfall CD erstellt habe und meine Windows DVD nicht mehr finde.

Danke schonmal vorab für Eure Hilfe.

Grüße
Dough

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Hinweis: Poste die erstellten Logfiles hier in deinem Thema - erstelle kein neues!

Falls bereits installierte Antivirensoftware Funde gemeldet hat: Füge unbedingt die entsprechenden Logdateien bei!

Danke für den Hinweis:
Hier die Anhänge.

Falls noch was fehlt einfach bescheid geben.

Zitat:

C:\TDSSKiller_Quarantine

TDSS-Killer ist kein Spielzeug und kann den Rechner unbootbar machen!
Bitte poste mir die von ihm erstellten logfiles. Diese findest du unter C:\. Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt.


Mach außerdem folgendes:


aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Psychotic,

anbei die Logfiles von TDSS Killer. Ich habe noch drei andere die aber älter sind (Uhrzeit). Wahrscheinlich hab ich das Programm 3 mal laufen lassen.

Und die .txt von ASWMBR.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier die combofix.txt.
Es war kein Neustart nötig.

Scan mit adwcleaner


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Sorry bin nicht früher dazu gekommen:
Hier die TXT von adwcleaner.

Schritt 1: Fix mit adwcleaner

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.




Schritt 3: OTL



Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Psychotic,

im Anhang die ganzen Log-Dateien.

Sieht ganz gut aus - kontrollieren wir alles nochmal!


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3: aswMBR



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

#--Doppelpost

Hallo Psychotic,
Danke schon jetzt für die aufwendige Hilfe. Hier wieder die ganzen Log-Dateien.

Zitat:

C:\Program Files (x86)\VideoConverter\VideoConverter.exe a variant of Win32/InstallCore.A application
C:\Users\Dough & Sabs\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\3f9fe2bd-4adfd74f multiple threats
C:\Users\Dough & Sabs\Downloads\DriverReviverSetup.exe a variant of Win32/RegistryReviver application
C:\Users\Dough & Sabs\Downloads\Setup_FreeVideoConverter(1).exe Win32/Toolbar.SearchSuite application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader12536.exe a variant of Win32/SoftonicDownloader.A application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader44573.exe a variant of Win32/SoftonicDownloader.A application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader66221.exe a variant of Win32/SoftonicDownloader.A application
D:\Nero-8.3.6.0_All_Inclusive\nero\Nero-8.3.6.0_deu_trial.exe Win32/Toolbar.AskSBar application

Das ist keine malware, aber ein Sicherheitsrisiko. Lösche die Dateien ungeöffnet über den Explorer.


Wie verhält sich der Rechner?