Hallo zusammen,

ich habe ein Problem mit einem (oder mehreren) Virus.
Beim Einloggen in mein Online-Banking wurde ich aufgefordert 100 Tan-Nummern abzuschicken.
Habe dann sofort meinen Zugang sperren lassen, AntiVir laufen lassen und 2 Viren gefunden:
TR/PSW.Zbot.....
Dachte danach alles wäre wieder gut, jetzt bekam ich heute vom Windows Sicherheitscenter die Warnung, dass AntiVir, sowie der WIndows Defender ausgeschaltet sind :-(
Also würde ich sagen, ich hab da noch irgendwas auf der Festplatte! :-(

Kann mir jemand helfen? Wäre super! :-)

Liebe Grüße
Janina

Hi,

sofort von einem sauberen Rechner aus alle Passwörter ändern (Amazon, eBay etc.)...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Wow, danke für die schnelle Antwort!
Hier die Logs:

Hi,

bitte MAM updaten und dann keinen Quickscann sondern FULLSCAN....
Log posten...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (anfikpjb) --  File not found
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - No CLSID value found
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
[2013.03.23 13:14:59 | 000,000,000 | ---D | C] -- C:\Users\Janina\AppData\Roaming\Yczoi
[2013.03.23 13:14:59 | 000,000,000 | ---D | C] -- C:\Users\Janina\AppData\Roaming\Taiz
[2013.03.23 13:14:59 | 000,000,000 | ---D | C] -- C:\Users\Janina\AppData\Roaming\Alemp

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.

Stelle den Killer wir folgt ein:


Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

chris

Hallo und guten Morgen :-)

Also MAM hab ich upgedated und laufen lassen: 1 Fund
OTL hab ich auch gemacht - Logs anbei.

Allerdings wenn ich den TDSS-Killer bei deinem angegebenem Link downloaden will bekomm ich die Fehlermeldung "Error Page 404". Gibt's den Link einfach nicht mehr oder blockt mein System den vielleicht?
Muss es zudem die .zip-Datei sein oder könnte ich auch die .exe-Datei (bspw. von Softonic) downloaden und installieren?

Danke für deine Hilfe
Janina

Hi,

nicht gut, habe es gerade kontrolliert, die Page geht...
Blos nichts von Softonic runterladen, da bekommst du jede Menge fragwürdiger Toolbars gleich mitinstalliert, dass ist deren Geschäftsmodell, SW die es umsonst gibt über einen eigenen Downloader anzubieten, der dann gleich noch für Werbung etc. auf dem Rechner sorgt...

Dann gehen wir gleich mal zum Schlachtschiff über...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

Hallo,

so ein Mist, bei mir funktioniert die Seite nicht...

Naja, anbei der Log von ComboFix...

Liebe Grüße und danke
Janina

Hi,

den Killer bitte von hier runterladen:
Kaspersky TDSSKiller - Download - COMPUTER BILD...

Dann wie bereits beschrieben vorgehen...

chris

Danke, da konnt ich den problemfrei runterladen!

Anbei der Log, es wurden wohl 3 Viren gefunden, wenn ich das richtig verstehe, oder?

Liebe Grüße
Janina

Hi,

sind nicht signierte Files, das ist OK...
Das sieht soweit Ok aus...

Backups von OTL, Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

• OLT und das Verzeichnis C:\_OTL löschen...

• C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)

chris

Hi,

hab ich gemacht.
Das C:\Qoobox konnte ich allerdings nicht löschen, angeblich hätte ich keine administrativen Berechtigungen (???)
Papierkorb ist leer.

Was ist mit MAM? Drauf lassen oder deinstallieren?

Liebe Grüße und ein schönes Osterfest
Janina

Hi,

ich würde MAM drauf lassen, einmal pro Woche updaten und dann laufen lassen.
Combofix-uninstall: Ein Leitfaden und Tutorium zur Nutzung von ComboFix, das sollte die Sicherungen und Quarantänedateien ebenfalls löschen...

chris

Super, danke, hat funktioniert!

Wie würdest du den "Zustand" meines PC's nun einschätzen?
Ist er virenfrei?
Klar, ich weiß, nur weil die Scanner nichts mehr finden, heißt das nicht, dass nichts mehr an Viren drauf ist. Dennoch hätte ich gerne deine Einschätzung

Liebe Grüße
Janina

Hi,

soweit ich es erkennen kann ist er OK, allerdings solltes Du kein Homebanking mehr machen bzw. falls doch den Rechner sicherheitshalber Neuaufsetzen...

chris

Ok alles klar, vielen lieben Dank für deine Hilfe, du warst super!
Jippi