Hallo liebes Team, ich hab ein Problem mit meinem Computer. Und zwar habe ich vermutlich den backdoor.agent.-Virus (ich habe mir ein paar Problemberichte von anderen durchgelesen und mein Computer hat ähnliche "Symptome").
Ich schreib euch mal chronologisch was mir aufgefallen ist:
-Seit längerer Zeit werden gelegentlich Verknüpfungen auf dem Desktop wieder ins linke obere Eck verschoben und kurz vor dem Befall wurde das Laden von Internetseiten sehr verlangsamt.
-Vor eineinhalb Wochen hat dann der Computer (windows 7) beim Herunterfahren anstatt der quadratischen windows7-Symbole die länglichen xp-Symbole in der Taskleiste angezeigt.
-Als ich den Computer am nächsten Tag hochfuhr und mich in meinen Benutzer einloggte, war der Desktop schwarz und leer (außer Openoffice; anscheinend hat der Virus nicht "gründlich" gearbeitet), die Taskleiste teilweise auf die Anfangseinstellungen zurückgesetzt.
Alle Dateien waren aber jedoch über die Suche noch auffindbar. So habe ich auch meinen Fotoordner gefunden (jedoch nicht über den Arbeitsplatz?!) und die Dateien ausgeschnitten und sie auf einen eigenen Ordner am Desktop eingefügt. Als ich den Ordner dann geschlossen und wieder geöffnet hatte, war er leer. Allerdings enthielt er 196MB an Dateien, was der Größe der Fotos entspricht.
-In meiner Verzweiflung habe ich dann am nächsten Tag eine Systemwiederherstellung gemacht. Nach dem Öffnen schien zuerst alles normal, bis ich bemerkte, dass eine Ordner fehlte, der ausschließlich word- und openoffice-Dateien enthielt. Diese Dateien habe ich zwar über die Suche wiedergefunden, anderst aber nicht.
Als ich dann jedoch einen neuen Ordner erstellte mit dem Namen des Verschwundenen, kam eine Meldung, dass er bereits bestehe und ob ich uhn in ihn integrieren möchte. Ich habe OK geklickt und plötzlich war der neue Ordner verschwunden.
-Dann habe ich mich auf eurer Seite umgeschaut (die ist übrigens super, großes Lob ) und habe gelesen, dass einem anderer User mit ähnlichen Problem ein Scan mit mbam geraten wurde. Das habe ich auch gemacht, allerdings vergessen, Avira auszuschalten. mbam hatte einen Fund (habe das log als Openoffice-Datei gespeichert) und Avira zeimlich viele (ca. 20, alle mit ähnlichem Pfad). Leider habe ich hier kein log und die Viren gelöscht (Sorry hätte mehr bei euch lesen sollen). Jetzt dachte ich, dass der PC bereinigt ist, jedoch ist das Internet immer noch extrem langsam und die Openoffice- und Word-Dateien, der Ordner dazu und die Fotos sind immer noch unsichtbar.

Ich hoffe ihr könnt mir helfen, anbei schicke ich euch das log von mbam.
Sind noch logs mit anderen Programmen notwendig?
Danke schon mal im Vorraus

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Erstmals Danke für die schnelle Antwort.
Aber nein, ich habe keine anderen logfiles erstellt.

Erstmals Danke für die schnelle Antwort.
Aber nein, ich habe keine anderen logfiles erstellt.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Leider hast du diesen Beitrag 10 Minuten zu spät geschrieben, denn da war ich noch online.
Nachdem du ja gesagt hast, dass ich zuerst noch vorhandene logfiles hochstellen soll und ich keine mehr habe, habe ich vorhin nämlich noch einen Scan mit mbam gemacht, weil beim ersten ja Avira aktiv war.
Allerdings habe ich wieder vergessen, Avira zu deaktivieren, was ich an den 4 Fundmeldungen, die in kurzer Zeit eintrafen, bemerkt habe. Die Funde habe ich dann mit Avira gelöscht und es dann (ca. 5 Minuten nach Scan-Beginn) deaktiviert.
mbam hat dann insgesamt 6 Funde angezeigt, die ich gelöscht habe :

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.21.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
lasagne :: lasagne-HP [limitiert]

Schutz: Deaktiviert

21.03.2013 16:06:51
mbam-log2.txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191047
Laufzeit: 16 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\CLSID\{EFF39A40-C163-4d5d-B073-52FBB55C646A} (Trojan.Agent) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EFF39A40-C163-4D5D-B073-52FBB55C646A} (Trojan.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\lasagne\AppData\Local\Temp\jar_cache4838863108239086657.tmp (Malware.Gen) -> Keine Aktion durchgeführt.
C:\Users\lasagne\AppData\Local\Temp\tmpa29308b6\sj.exe (Trojan.Zbot.HEEP) -> Keine Aktion durchgeführt.

(Ende)
         

Da ich mir gedacht habe, dass von den 5 Minuten jetzt und vom letzten Scan noch logfiles von Avira vorhanden sein müssten, habe ich es geöffnet und auf Ereignisse geklickt: Ergebnis (ich habe mir die Mühe des Zählens gemacht): 141 Funde von heute, ungefähr genauso viele vom 17.3., also vom 1. Scan, einen vom 4. und 3 vom 3., seitdem ich Probleme mit dem Computer habe. Soll ich diese auch alle hochstellen oder wäre diese Idee idiotisch?

Sorry dass ich so vorschnell gehandelt habe. Tut mir leid.

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Also ich habe noch die erwähnten von Avira und jetzt habe ich einen Scan mit OTL wie befohlen gemacht, aber die beiden logs sind extrem lang (das wären mehrere Word-Seiten) und die Pfade beschreiben alle möglichen Programme auf dem Computer, z. B. Skype. Ist das richtig so? Ich lade sie auf jeden Fall erst morgen hoch, den ich muss sie ja noch anonymisieren, was so seine Zeit in Anspruch nehmen könnte.

Zu große Logs bitte zippen und hier in den Anhang packen

Sorry war krankheitsbedingt die letzten Tage ned da...aber wie kann ich das log zippen? Habe 7zip runtergeladen, aber was muss ich jetzt machen?
Was mir übrigens noch eingefallen ist: Seit Tagen kommt kurz nach dem Hochfahren eine Nachricht: "catalyst control centre: host application funktioniert nicht mehr...". Hat das mit meinem Problem vielleicht zu tun. Soll ich vielleicht noch mal einen mbam-Scan ganz ohne Avira machen?
Falls ich mal etwas längere Zeit nicht antworten sollte, liegt dass daran, dass das Surfen bei dem Tempo extrem anstrengend ist.

http://www.trojaner-board.de/69886-a...tml#post566999

Dank 7zip habe ich übrigens alle meine Dateien wiedergefunden: Es ist alles noch da.
Ich hoffe, dass mit zip im Anhang hat funktioniert (habe die winzip-Testversion benutzt, weil ich mit 7zip nicht richtig klarkam).

Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ich habe den Scan mit GMER wie angewiesen gemacht und mir dann mbar heruntergeladen, allerdings erscheint , wenn ich mbar.exe öffnen will, eine Nachricht, dass es nicht möglich ist, weil "qtgui4.dll" auf dem Computer nicht vorhanden ist. Was soll ich nun tun?

Soll ich es hiermit versuchen? hxxp://www.fixthisdll.com/?CID=PAR-TOPDLL&OVKEY=qtgui4.dll&lang=de

Die Anzeichen passen übrigens recht genau auf meinen Computer.

Du musst MBAR runterladen, dann komplett entpacken!
Nicht das MBAR Archiv doppelklicken und versuch daraus auszuführen, das wird nicht funktionieren!

Super, hat jetzt funktioniert. Danke!