Nachdem ich gerade den Laptop eines Freundes bei euch zur Untersuchung habe, dachte ich mir es wäre nicht schlecht die Scanner auch bei mir laufen zu lassen. Und siehe der TDSSKiller spuckt mir auch gleich auf beiden Systembootsektoren diesen Virus aus.

Eigentlich zeigt das System keine Probleme, aber vorm nächsten Backup hätt ich es schon gerne sauber.

Nun habe ich auch defogger und OTL laufen lassen, poste alle Logs im Anhang und bitte um weitere Anleitung zum Entfernen. Danke!

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Hast du noch weitere Logs von diesem Rechner zB von Malwarebytes? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten

Ich habe vor einigen Tagen Anti-Malware öfter durchlaufen lassen (2x Quick und 2x Full) und schön langsam alles in die Quarantäne geschoben. Anbei die Logs in chronologischer Reihenfolge.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.10.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pontiac51 :: FIREBIRD [Administrator]

10.11.2012 12:18:26
mbam-log-2012-11-10 (12-18-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 246545
Laufzeit: 2 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\WINDOWS\SYSTEM32\ESFTCHK5.DLL (Trojan.Scar) -> Daten: 2 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Windows\System32\esftchk5.dll (Trojan.Scar) -> Keine Aktion durchgeführt.
C:\Users\Pontiac51\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\npm.dll (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Pontiac51\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\tb.dll (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Pontiac51\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\ytdl.exe (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.10.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pontiac51 :: FIREBIRD [Administrator]

10.11.2012 12:39:55
mbam-log-2012-11-10 (12-39-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 246505
Laufzeit: 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\WINDOWS\SYSTEM32\ESFTCHK5.DLL (Trojan.Scar) -> Daten: 2 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\System32\esftchk5.dll (Trojan.Scar) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Danach war mit einem Quickscan nichts mehr zu finden, aber ich hab dann auch full scans laufen lassen. C und F sind meine Systemplatten. G, H und I sind meine Datenplatten. D (auch eine Datenplatte) hab ich aus irgendeinem Grund vergessen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.10.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pontiac51 :: FIREBIRD [Administrator]

10.11.2012 14:29:51
mbam-log-2012-11-10 (14-29-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 418906
Laufzeit: 52 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
F:\WINDOWS\system32\ASkin.ocx (Malware.Packer.as) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.10.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pontiac51 :: FIREBIRD [Administrator]

10.11.2012 15:36:30
mbam-log-2012-11-10 (15-36-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365851
Laufzeit: 57 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
G:\My Documents\My Downloads\SoftonicDownloader_fuer_instanttimezone.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
G:\My Documents\My Downloads\MoyeaImporterforPremiere\moyea.importer.3.0-patch.exe (PUP.Hacktool.Patcher) -> Erfolgreich gelöscht und in Quarantäne gestellt.
G:\Program Files\CryptLoad_1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Danach habe ich keine Scans mehr durchgeführt.

Sry aber dein Freund darf seinen Rechner neu aufsetzen und mal in Zukunft die Finger von riskantem illegalen Zeug lassen

Code: Alles auswählenAufklappen

ATTFilter

G:\My Documents\My Downloads\MoyeaImporterforPremiere\moyea.importer.3.0-patch.exe
C:\Windows\System32\esftchk5.dll (Trojan.Scar)
         

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Jau, verstanden. Nur zur Klarstellung: Das ist MEIN Rechner, also bitte mir den Strick drehen. Mein Freund ist da völlig unschuldig.

Das ihr bei solchen Dingen den Support einstellt, verstehe ich vollkommen.

Trotzdem möchte ich loswerden, dass ich ungern viel Geld für Software ausgeben ohne sie vorher testen zu können. Das erste Teil hat nie in dem Umfang funktioniert, wie es die Werbung glauben machen wollte und stammt wohl noch aus 2008 (bei knapp 70u$ kann man über die Sinnhaftigkeit schon mal nachdenken). Beim zweiten besitze ich inzwischen die Vollversion.

Trotzdem ist das nicht EUER, sondern MEIN Problem. Eine Spende ist bereits unterwegs.

Hm dann hab ich direkt andersherum gelesen

Dann bekommst du halt eben die und dein Kumpel

Zitat:

Trotzdem möchte ich loswerden, dass ich ungern viel Geld für Software ausgeben ohne sie vorher testen zu können.

Häh
Nenn mir mal einen Hersteller der keine Demo- oder Testversionen anbietet
Auch von deinem Moyea Importer gibt es was - das wird aber zumindest bei heise als grottig bewertet

Der "Testversion" fehlte genau jene Funktion, die ich eigentlich haben wollte. Und du hast Recht, es ist grottig.

Das 2. Produkt ist ein Flugzeug für einen bekannten Simulator, Preis: 50 Euro. Hier gibt es keine Demo, auch beim ähnlichen Produkt der Konkurrenz nicht. Ist in der Branche einfach nicht üblich, leider. Wie soll man da vergleichen? Ausserdem wird zuviel Schrott verkauft. Ich habe hier IMHO schon genug Lehrgeld bezahlt.

Zitat:

Das 2. Produkt ist ein Flugzeug für einen bekannten Simulator, Preis: 50 Euro. Hier gibt es keine Demo, auch beim ähnlichen Produkt der Konkurrenz nicht.

Für so einen unwichtigen Firlefanz muss man da rumcracken?

Das mit unwichtigen Firlefanz liegt bekanntlich im Auge des Betrachters.

Aber du hast schon Recht, wenn man berücksichtigt was an Zeit und vor allem möglichen Verlust so eine Attacke nach sich zieht ...

Frei nach dem Motto: Besser die Katze im Sack kaufen als den Virus im Crack mitgeliefert bekommen?

Zitat:

Das mit unwichtigen Firlefanz liegt bekanntlich im Auge des Betrachters.

Nur um ein anderen Flugzeugtypen in einem schon kommerziellen Spiel fliegen zu können muss das cracken?

Zitat:

Frei nach dem Motto: Besser die Katze im Sack kaufen als den Virus im Crack mitgeliefert bekommen?

Wenn der Hersteller nicht ein paar Kosteproben bzw. eine eine zeitlich begrenzte Demo kostenlos anbieten will, ja dann kauft man halt die Katze im Sack wenn man es denn bestellt. Und cracken ist keine Option wie du hier ja siehst

Der Simulator ist quasi nur ein Framework, den Basisinhalt kann man dabei getrost vergessen. Und was ein wahrer Simulant ist, kann da gewaltig Kohle reinstecken. Da lebt auch ein ganzer Softwarezweig davon. Nur gibts halt auch viele Trittbrettfahrer, wie in jeder anderen Branche auch.

Aber du hast Recht, Nutzen und Aufwand stehen nicht im Verhältnis zueinander.