Hi zusammen,

ich hab mir vor kurzem ein Virus aus dem Internet gezogen.

Habe jetzt eine Systemwiederherstellung gemacht und dann mit Malwarebyte einen kompletten Suchlauf gemacht. Die Funde habe ich löschen lassen.
Unten seht ihr den Log.
Denkt ihr, es gibt weiteren Handlungsbedarf?




Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
David :: PC [Administrator]

17.10.2012 12:13:08
mbam-log-2012-10-17 (13-21-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330557
Laufzeit: 1 Stunde(n), 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-220523388-1614895754-839522115-1003\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 20
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000004.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\000000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000032.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0089660.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090197.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090198.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP758\A0091266.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0091307.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0092335.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092378.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0093397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0094397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP762\A0095448.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe217.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.

(Ende)

Hier ist nochmal der Log nach dem Löschen der Dateien:

Zitat:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
David :: PC [Administrator]

17.10.2012 12:13:08
mbam-log-2012-10-17 (12-13-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330557
Laufzeit: 1 Stunde(n), 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-220523388-1614895754-839522115-1003\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 20
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090197.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090198.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0089660.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP758\A0091266.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0091307.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0092335.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092378.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0093397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0094397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP762\A0095448.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe217.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Machst du von dem Rechner aus online-Banking oder Internet-Zahlungsverkehr wie z.B. Paypal oder Einkäufe?

Nein, mache ich normalerweise nicht.

Heißt das, dass es dann nichts zu befürchten gibt?

Antivir hat jetzt gerade wieder eine Warnung über einen Virus rausgegeben, d.h. er ist immer noch nicht ganz weg.

Der kann noch gar nicht weg sein, weil wir noch gar nix dagegen unternommen haben.

Zitat:

C:\WINDOWS\system32\AcroIEHelpe217.dll

Ich frage, weil du einen Trojaner am System hast, der Daten zu finanziellen Transaktionen stiehlt und an seinen Herrn und Meister weiterleitet.

Außerdem ist das relativ bösartige ZeroAccess-Rootkit mit von der Partie. Eine Bereinigung ist möglich, könnte aber längere Zeit dauern und ich kann dir, wie gesagt, keine Garantie geben, dass wir alles finden.

Darum die Frage:

Bereinigung oder Neuinstallation?

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen