Hallo,

am 31.01.13 bekam meine freundin eine e-mail mit angeblich einer mms und einem telekom-logo im anhang, beim versuch diese an mich zur überprüfung weiterzuleiten kam eine meldung das dies wegen eines trojan.bebloh nicht möglich sei.
beim nachforschen stiess ich auf dieses forum und wollte die mail als eml und gezippt an euch senden. ging nicht: Nachricht konnte nicht gesendet werden: 551 virus infected mail rejected (Trojan.Bebloh) (MSG-1028, 1917955868-637992)
Ist nun schon etwas passiert oder muss der anhang dazu geöffnet werden?
ich hatte seitdem drei seltsamkeiten bemerkt (auf meinem rechner):
1. der rechner hat unaufgefordert einen neustart gemacht, während malwarebites lief
2. während ich mit firefox im internet bin öffnet sich plötzlich ein fenster mit druckauftrag
3. obwohl bisher nicht so, ist nun ein klicken zu hören wenn ich eine datei oder einen ordner öffne

weder malwarebites noch spybot noch kaspersky noch weitere trojan-remover konnten bisher einen trojaner finden, ausser einer datei:
Deleting the following registry value(s):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\htcupctloader.exe\[Debugger] - already deleted

die OTL logfiles und das trojen-remover logfile anbei,
was meint ihr, ist da noch handlungsbedarf?


Gruss und danke, Spruce

Zitat:

64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Warum bitte eine Professional Edition für Windows? Wer braucht das als Heimanwender?
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

Hallo cosinus,

das upgrade hatte ich mal gemacht von Vista auf Windows 7, für Professional hatte ich mich später nochmal entschieden wegen des XP Modus. Ein Programm lief nicht unter dem neuen Windows wenn ich mich recht erinnere.
Ich nutze das Notebook hauptsächlich privat und zum Rechnung schreiben / Bilder bearbeiten für meine freiberufliche Tätigkeit.

Gruss, Spruce

Ok, danke für die Erläuterung

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo,

nein, keine weiteren scanner die etwas gefunden hätten!

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

sorry für die im start thread angehängten zip-logfiles, aber euer system hatte mich dazu aufgefordert da die zeichen den höchstsatz überschritten hatten.

ich habe malware rootkit ausgeführt, ergebniss: keine funde!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.02.05.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: *** [administrator]

05.02.2013 10:15:29
mbar-log-2013-02-05 (10-15-29).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28279
Time elapsed: 11 minute(s), 32 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

kann es sein das sich da schon vor längerer zeit mal jemand zugang zum rechner verschafft hat und eine sicherheitslücke ausnutzt die, da nicht bekannt/dokumentiert von malware und co, unentdeckt bleibt? ich habe da ein paar "freunde" die mir gerne schaden würden wenn sie könnten glaube ich!

auf dem zweiten rechner (der meiner freundin) geschah gestern seltsames, nach dem versetzen in den standbymodus blieb er trotzdem aktiv, hing irgendwie. nach einem neustart konnte man in firefox die meisten webseiten nicht anzeigen, luden nur ewig, andere zeigten sich zügig.
nach dem öffnen eines .doc mit word hing auch dieses und liess sich nicht nutzen und nicht mehr schliessen. erst mit dem taskmanager konnte ich es beenden. dort zeigte die cpu eine auslastung von 100% an. leider habe ich nicht geschaut welcher prozess das verursacht hat.

soll ich auch hier mal den malware rootkit scanner laufen lassen?

Nunmal immer langsam und mit der Ruhe
Mach wir erstmal diesen Rechner in Ruhe zu Ende und nicht alle anderen und weitere 100 Dinge auf einmal, oder willst du dich verzetteln?

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

bin öfter mal voreilig, entschuldigung

aber nun doch eine zwischenfrage: ist es wichtig die scanner vom desktop aus auszuführen?
ich speichere meine downloads nämlich in der regel immer in einer anderen partition in extra dafür jeweils erstellten ordnern.

und übrigens schätze ich deine (eure) hilfe hier im forum sehr, sich neben den eigenen problemen mit der technik auch noch mit denen anderer, fremder, leute zu beschäftigen =

Zitat:

ich speichere meine downloads nämlich in der regel immer in einer anderen partition in extra dafür jeweils erstellten ordnern.

Ja pack sie bitte auf den Desktop

hmm, bei mir sieht GMER so aus:

häkchen bei quick scan
keine häkchen bei C:\ , E:\ , F:\

in eurem Beispiel ist kein quick scan und ein häkchen bei C:\

(kann man hier bilder nur per url einfügen?)

Bei welchem Tool bist du bitte? Bei GMER oder aswMBR bestimmt nicht, von Quickscan ist in den Anleitungen zu GMER oder aswMBR nirgends die Rede

GMER

kann ich irgendwie den screenshot hochladen?
klicke ich auf: in grafik einfügen steht da nur: geben sie die URL zu ihrer grafik ein

Bild in den Anhang packen oder bei Saved.im hochladen

ahhh, ahhnhang,