Hallo Trojaner-Board Team,

ich habe seit ca. 2 Wochen das Problem das ich den Browser teilweise nicht mehr öffnen konnte, und wenn dann landete ich auf ClaroSearch.
Auf jeden Fall hab ich deadorziwaty.exe entdeckt und bin über die Google bei euch gelandet.

Ich habe nun wie in eurer Anweisung "Vorgehen beim Verschlüsselungs-Trojaner" einen vollständigen Scan mit Anleitung: Malwarebytes Anti-Malware durchgeführt.

und habe hier nun den Bericht.

Ich danke eurem Team.


Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.28.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.3264
R a i n e r :: RAINER [Administrator]

Schutz: Deaktiviert

28.11.2012 12:16:15
mbam-log-2012-11-28 (12-16-15).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219482
Laufzeit: 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{d6743764-82d9-a853-9ef2-b10b69c48e51}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\WINDOWS\Temp\41371.40633812662.htm (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\R a i n e r\deadorziwaty.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Zitat:

und habe hier nun den Bericht.

Sind das alle Logs oder hast du noch weitere? Es geht auch nicht nur um Malwarebytes.
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo cosinus,

ich habe tatsächlich 2 Loge :
1)
Malwarebytes Anti-Malware (Test) 1.65.1.1000
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2012.11.28.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.3264
R a i n e r :: RAINER [Administrator]

Schutz: Deaktiviert

28.11.2012 12:16:15
mbam-log-2012-11-28 (12-16-15).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219482
Laufzeit: 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{d6743764-82d9-a853-9ef2-b10b69c48e51}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\WINDOWS\Temp\41371.40633812662.htm (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\R a i n e r\deadorziwaty.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


2 )
2012/11/28 12:14:58 +0100 RAINER R a i n e r MESSAGE Executing scheduled update: Daily
2012/11/28 12:15:06 +0100 RAINER R a i n e r MESSAGE Scheduled update executed successfully: database updated from version v2012.09.29.05 to version v2012.11.28.04


Danke für die rasche Antwort

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hier der erste Scan

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-28 17:47:19
Windows 5.1.2600 Service Pack 3, v.6055 
Running: 1lz4gjvl.exe


---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\System32\Drivers\6b7ac38611882a1.sys (*** hidden *** )    [BOOT] 6b7ac38611882a1                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@ImagePath     \SystemRoot\System32\Drivers\6b7ac38611882a1.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@Group         Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@ErrorControl  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@Type          1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@Start         0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@Tag           1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\6b7ac38611882a1@DisplayName   deadorziwaty.exe
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@ImagePath         \SystemRoot\System32\Drivers\6b7ac38611882a1.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@Group             Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@ErrorControl      0
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@Type              1
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@Start             0
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@Tag               1
Reg      HKLM\SYSTEM\ControlSet002\Services\6b7ac38611882a1@DisplayName       deadorziwaty.exe

---- EOF - GMER 1.0.15 ----
         

--- --- ---


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-28 17:54:14
-----------------------------
17:54:14.492 OS Version: Windows 5.1.2600 Service Pack 3, v.6055
17:54:14.492 Number of processors: 2 586 0xF02
17:54:14.492 ComputerName: RAINER UserName:
17:54:15.054 Initialze error C0000001 - driver not loaded
17:57:15.273 AVAST engine defs: 12112800
17:57:57.617 Service scanning
17:57:57.835 Service 6b7ac38611882a1 C:\WINDOWS\System32\Drivers\6b7ac38611882a1.sys **HIDDEN**
17:58:09.445 Modules scanning
17:58:09.445 Disk 0 trace - called modules:
17:58:09.445
17:58:10.195 AVAST engine scan C:\WINDOWS
17:58:23.601 AVAST engine scan C:\WINDOWS\system32
17:59:57.304 AVAST engine scan C:\WINDOWS\system32\drivers
17:59:57.398 File: C:\WINDOWS\system32\drivers\6b7ac38611882a1.sys **INFECTED** Win32:Rootkit-gen [Rtk]
18:00:09.945 AVAST engine scan C:\Dokumente und Einstellungen\R a i n e r
18:24:21.398 AVAST engine scan C:\Dokumente und Einstellungen\All Users
18:25:27.023 Scan finished successfully
18:28:44.242 The log file has been saved successfully to "C:\Dokumente und Einstellungen\R a i n e r\Desktop\aswMBR.txt"

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Cosinus,

wie kann ich den Avira AntiVir Desktop deaktivieren ?

Combofix meldet das der noch aktiv ist, und ich hab nach längerer Suche keine Mölichkeit endeckt.
Sorry für den Aufwand.

Wenn der Echtzeitschutz beenden ist kannst du diese Meldung ignorieren
Ist ein Bug von AntiVir, denn es meldet sich nicht immer sauber vom Sicherheitscenter ab und mW orientiert sich CF an dem Status, den das Sicherheitscenter von Windows ausgibt.

Kann es sein das der Combofix Vorgang über 2 Std. dauert ?

ich hab jetzt seit ca 2 Std. folgende Meldungen in dem blauen Fenster stehen:

System File is infected !! Attempting to restore c:WINDOWS\system32\driver\AGP440.sys

\system32\wmerrDEU.d11

\system32\drivers\cdrom.sys


Arbeitet es noch ?

Ich schreib dir gerade von einem anderen Rechner.

Zitat:

Kann es sein das der Combofix Vorgang über 2 Std. dauert ?

Dein Rechner hat ja auch ne starke Infektion! Warte bitte ab

Vielen Dank für die rasche Antwort.

Ich warte :-)

hallo cosinus,

seit freitag gibt es keine veränderung. Es escheint immer noch die gleiche anzeige.
kann es auch über tage dauern ?

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Hab ich gemacht, jetzt steht das programm an anderer stelle.
an dem punkt " lösche dateien "


Soll ichs wieder löschen ? Wie gehabt nochmals downloaden und nochmal versuchen ?

Brich es ab. Evtl. kommen wir später nochmal auf CF zurück

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!