Hallo,

ich hoffe ihr könnt mir helfen, nachdem ich von meinen Eltern an ihren Computer gerufen wurde und leider nur noch das Problem lokalisieren konnte und nicht verhindern. Meine Mutter hat vor einiger Zeit eine Email bekommen, in der (ganz klassisch) ein Mahnbescheid angehängt war. Sie hatte aber nichts entsprechendes gekauft, jedoch doch ein wenig Angst vor den Folgen, weswegen sie sich von auch die angehängte Datei anschauen wollte. Sie hat diese nun heruntergeladen (insgesamt 7 Mal !!!!). Meine Mutter kennt sich leider recht schlecht mit Rechnern aus, weswegen aus ihrer Schilderung auch nicht ganz klar abzuleiten ist, ob sie die Dateinen 7 mal nur aus ihrem GMX Postfach (über Browser geöffnet) heruntergeladen hat, oder ob sie auch geöffnet wurden. Ich hab danach einen Scan mit AVIRA gemacht und der Scan hat eine Infizierung mit TR/Matsnu.eb.101 gefunden und danach die 7 Dateien in Quarantäne "gesteckt". Danach hab ich mich dann im Netz auf die Suche nach dem Trojaner gemacht und bin bei euch im Board gelandet.

Hab dann zuerst mit Malewarebytes noch einen weiteren Scan gemacht, der aber nichts mehr gefunden hat. Danach hab ich dann OTL und GMER laufen lassen, mit folgenden Ergebnissen im Anhang


Meine Frage ist nun, ob der Trojaner das System infiziert hat oder ob er durch den Virenscan und die Quaratäne noch "gestoppt" wurde.

Ach ja, vielleicht könnt ihr mir auch noch kurz erklären, was dieser Trojaner eigentlich so "anstellen" würde. Meine Eltern sind momentan nämlich sehr besorgt und fürchten schon, dass alle Konten sperren müssen, weil ab und an auch mal ein wenig Onlinebanking mit dem Rechner gemacht wurde. Ich gehe mal davon aus, es ist das beste, alle Passwörter, die z.B. im Browser (ja, ich hatte ihnen schon gesagt, dass sie die PWs nicht speichern sollen) gespeichert waren zu ändern, oder? Was muss noch alles geändert werden, damit das System und ihre Daten wieder sicher sind?

Vielen Dank für eure Hilfe

Mr_Groove21

Ach ja, hier noch das LOG der Quarantäne Files von AVIRA:

Typ: Datei
Quelle: C:\Users\Acer\AppData\Local\Temp\Bestelldaten Ihrer Bestellung 06.02.2013-2.zip
Status: Infiziert
Quarantäne-Objekt: 0fa5942c.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:50


Typ: Datei
Quelle: C:\Users\Acer\Downloads\Bestelldaten Ihrer Bestellung 06.02.2013(4).zip
Status: Infiziert
Quarantäne-Objekt: 4deab212.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32


Typ: Datei
Quelle: C:\Users\Acer\Downloads\Bestelldaten Ihrer Bestellung 06.02.2013.zip
Status: Infiziert
Quarantäne-Objekt: 557d9db5.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32


Typ: Datei
Quelle: C:\Users\Acer\Downloads\Bestelldaten Ihrer Bestellung 06.02.2013(2).zip
Status: Infiziert
Quarantäne-Objekt: 7982a738.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32


Typ: Datei
Quelle: C:\Users\Acer\Downloads\Bestelldaten Ihrer Bestellung 06.02.2013(3).zip
Status: Infiziert
Quarantäne-Objekt: 1fb5e8fa.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: JA
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32


Typ: Datei
Quelle: C:\Users\Acer\Downloads\Bestelldaten Ihrer Bestellung 06.02.2013(1).zip
Status: Infiziert
Quarantäne-Objekt: 3c068a06.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32


Typ: Datei
Quelle: C:\Users\Acer\AppData\Local\Temp\Bestelldaten Ihrer Bestellung 06.02.2013.zip
Status: Infiziert
Quarantäne-Objekt: 431db867.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.08
Virendefinitionsdatei: 7.11.62.128
Meldung: TR/Matsnu.EB.101
Datum/Uhrzeit: 24.02.2013, 16:32

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


MBAR (Malwarebytes Anti-Rootkit)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).