Hallo Virulogen,

ich habe leider o.g. Problem beim Booten von Windows 7. Leider habe ich schon in "Eigenregie" den ESET-Scanner scannen und automatisch entfernen lassen - leider ohne Erfolg. Das Problem gab es schonmal hier: http://www.trojaner-board.de/125666-...ws-7-boot.html .

Vielen Dank schonmal für eure Mühen!

Greez, der Lurch

Ist ein 64-Bit-System, anbei die Logs:

Eset:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***username***.***firma***\wgsdgsdgdsgsd.exe	Win32/Sirefef.EV trojan
C:\Users\***username***.***firma***\AppData\Roaming\AcroIEHelpe237.dll	a variant of Win32/Spy.Banker.YSE trojan
C:\Users\***username***.***firma***\AppData\Roaming\appConf32.exe	a variant of Win32/Kryptik.APKM trojan
C:\Users\***username***.***firma***\AppData\Roaming\16001.012\components\AcroFF.dll	a variant of Win32/Spy.Banker.YSK trojan
C:\Users\***username***.***firma***\AppData\Roaming\16001.013\components\AcroFF013.dll	a variant of Win32/Spy.Banker.YSK trojan
C:\Users\***username***.***firma***\AppData\Roaming\Mozilla\Firefox\Profiles\up451xe0.default\user.js	JS/SecurityDisabler.A.Gen application
C:\Users\***username***.***firma***\Downloads\cbsidlm-tr1_8-OmniNFS-ORG2-10052498.exe	Win32/DownloadAdmin.E application
Operating memory	a variant of Win32/Spy.Banker.YSK trojan
         

MalwareBytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.02.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
***user*** :: ***user***-T520 [Administrator]

02.12.2012 13:25:47
mbam-log-2012-12-02 (13-26-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300654
Laufzeit: 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Defrogger

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:57 on 02/12/2012 (vmerz)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

ADWCleaner

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.010 - Datei am 02/12/2012 um 12:40:55 erstellt
# Aktualisiert am 29/11/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : ***user*** - ***user***-T520
# Bootmodus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Users\***user***.***firma***\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.2 (de)

*************************

AdwCleaner[R1].txt - [778 octets] - [02/12/2012 11:51:48]
AdwCleaner[R2].txt - [710 octets] - [02/12/2012 12:40:55]

########## EOF - C:\AdwCleaner[R2].txt - [769 octets] ##########
         

ASWmbr hängt sich leider auf, die großen Logs als Archive unten

Hallo und

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***firma***.local
C:\Users\***username***.***firma***
         

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Hi Cosinus,

merci für Deine Antwort - klein genug sind wir mit 2 Mann - wie es aussieht bin ich die Schädlinge losgeworden - jetztige Scan´s mit allen Tools die ich hier so gefunden habe zeigen in meinen Augen nichts mehr an.
Aber sollte ihn wohl doch über kurz oder lang neu aufsetzen, auch wenn ich mir gemütlicheres für den Feierabend gewünscht hätte