Sehr geehrte Damen und Herren,

ich bin neu hier im Forum, und möchte mich schon im Voraus für die Hilfe bedanken.
Helfe einen Bekannten beim bereinigen seines Computers, er hat sich leider mehrere Viren/Trojaner eingefangen.
Das Problem ist das er mehrere hundert Kilometer entfernt wohnt, und ich die Bereinigung nur über Teamviewer durchführen kann.
Ich bin mir bewusst das ein neu-aufsetzen des Systems das Beste wäre, jedoch ist dies in diesem Fall leider nicht so einfach.
Darum bin ich hier und möchte um Hilfe bitten, und hoffe das mit fachlicher Hilfe das System bereinigt werden kann.
Der Bekannte hat mir mitgeteilt das sich beim Online-Banking ein Fenster mit "Systemüberprüfung - bitte warten" geöffnet hat, und danach nichts mehr kam -> beim durchforsten dieses sehr guten Forums, habe ich gesehen, das es vermutlich an dem Trojaner "ZBOT" liegt.

Ich habe als erstes den AVIRA Antivir aktualisiert und eine vollständige Systemanalyse durchgeführt.
Es wurden mehrere Trojaner/Viren gefunden, die sich nun in Quarantäne befinden. (Screenshot im Anhang)
Weiters habe ich danach den "ESET Online Scanner" drüberlaufen lassen, der nichts mehr gefunden hat.
Danach habe ich OTL durchlaufen lassen, LOG-Files befinden sich im Anhang.
Malwarebytes-Anti-Malware habe ich dann auch noch durchlaufen lassen, der einiges gefunden hat -> die automatisch angehackten Einträge wurden entfernt.
In diesem Augenblick läuft nochmals der Avira Antivirus drüber.

Ich bitte um Hilfe welche Schritte noch notwendig sind, um sicher zu sein, das es System (Windows XP SP3) wieder komplett bereinigt ist.
Sollte ich die sich in Quarantäne befindlichen Viren/Trojaner aus Avira löschen?

Vielen Dank im Voraus

Hallo 4NG3L ich bin smeenk und ich werde versuchen dir mit deinem Problem zu helfen

Zitat:

Sollte ich die sich in Quarantäne befindlichen Viren/Trojaner aus Avira löschen?

Kein Problem


Bitte lade dir ZOEK auf deinen Desktop und starte es.
Falls ihre virenscanner reklamiert kannst du das ignorieren, unsere tools werden öfter falsch angezeigt.

• Klicke auf Options
• Hake an: Firefox Look
• Hake an: Chrome Look
• Hake an: Startup Information
• Hake an: Recently Created
• Hake an: Auto Clean
• Klicke auf Run Script und warte bis das Programm durchgelaufen ist.
• Am Ende erstellt es ein Logfile (auch hier: c:\zoek-results.txt)

Poste mir dieses Logfile.


Bitte poste in deiner nächsten Antwort:

• Log von zoek

Bitte alles nach Möglichkeit hier in CODE-Tags posten

Hallo smeenk,

vielen herzlichen Dank für die schnelle Antwort,
ist nach dem ausführen von dem Programm "ZOEK" ein Neustart des Rechners erforderlich?
Bzw. wird die Internetverbindung unterbrochen? Muss der Avira deaktiviert werden?
Das Problem ist das der Bekannte leider für heute leider ausser Haus ist - und ich nach einem Neustart bzw. bei einem Verbindungsabbruch nicht mehr auf den Rechner kommen würde, da ich über Teamviewer arbeite.

Vielen herzlichen Dank,
4NG3L

Das kann passieren, lässt vorerst das Häkchen bei Auto Clean weg

Vielen Dank für die schnelle Antwort,
ich glaube das ich dieses Programm erst morgen drüberlaufen lassen werde, aufgrund folgender Meldung:
"Do not start any browser windows, they will be closed automatically."
Habe Angst das es den Teamviewer schließt und ich den PC danach nicht mehr ausschalten kann.
Habe ZOEK bereits gestartet, bis auf "Run Script", jedoch kann ich das Fenster nicht mehr schließen.
Sollte ich den PC für heute herunterfahren, und morgen weitermachen, oder kann ich noch etwas anderes durchführen?

Vielen Dank smeenk für deine Hilfe,
greetz,
4NG3L

Zoek wird TeamViewer nicht schließen.
Wenn um Neustart gefragt wird kannst du dieser schirm unangerührt lassen und zoek-results.log der sich auf der system drive befindet posten.

Aus der anleitung von Team Viewer:
http://www.teamviewer.com/download/v..._manual_de.pdf

Zitat:

So konfigurieren Sie TeamViewer als Windows Systemdienst.
Wenn Sie den automatischen Start mit Windows nicht schon während der Installation konfiguriert haben, können Sie dies später jederzeit mit folgenden Schritten nachholen:

1. Starten Sie TeamViewer.
2. Klicken Sie im Extras ‐ Menü auf Optionen.
3. Wechseln Sie auf die Registerkarte Allgemein.
4. Aktivieren Sie im Bereich Starteinstellungen die Option TeamViewer mit Windows starten.
5. Geben Sie im Feld Kennwort ein Kennwort ein und bestätigen Sie dieses.
6. Klicken Sie auf OK und starten Sie Ihren Computer neu. → Ihr Computer ist nach dem Neustart erreichbar.

Hallo,

hab das LOG-File im Anhang,
den Autostart mit Teamviewer habe ich aktiviert, aber es scheitert am Login von Windows, welches ich auch noch ausschalten könnte, jedoch wird das Internet nicht automatisch verbunden - deshalb bringt mir auch der Autostart von Teamviewer leider nichts

Vielen herzlichen Dank

OK dies wird von deine seite aus zu etwas verspätung fuhren, wenn ich es gut verstehe?

Ich werde mich Zoek-results.log mal ansehen und nachher neue Instruktionen posten.

Hallo,

ja leider, mir ist die Teamviewer-Sitzung eingefroren - kann leider erst morgen wieder aktiv
am System arbeiten - bedanke mich herzlich für die jetzige Hilfestellung!

LG,
4NG3L

Hoffentlich klappt das morgen problemlos

Öffne nochmal ZOEK und kopiere untenstehende Code in das Textfeld:

Code: Alles auswählenAufklappen

ATTFilter

dcillohgikpecbmgioknapdpcjofaafl;chr
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Claro;fs
dhdepfaagokllfmhfbcfmocaeigmoebo;chr
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Savings Sidekick;fs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask;fs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon;fs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService;fs
C:\Programme\DVDVideoSoftTB;fs
C:\Programme\softonic-de3;fs
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows];r
"AppInit_DLLs"=-;r
autoclean;
pgafcinpmmpklohkojmllohdhomoefph;chr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager;fs
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Tatyo;f
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Fisyu;f
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Oqord;f
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten;m6
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ofgik];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater];r
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];r
"Ofgik"=-;r
C:\Programme\Ask.com;fs
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job;f
         

Drucke "Run Script".

Poste mir das Logfile.

Hallo smeenk,

heute geht es wieder - ich bin dir so dankbar für deine Hilfe!
Das Logfile befindet sich im Anhang

Liebe Grüße,
4NG3L

Es hat prima gelaufen

Dieser Programme kannst Du deinstallieren:
Claro Chrome Toolbar
Claro LTD toolbar
Browser Manager
Ask Toolbar
Ask Toolbar Updater
DVDVideoSoftTB Toolbar
SmartShopper
Savings Sidekick
softonic-de3 Toolbar

Wie deinstalliere ich Programme bei Windows XP?

Öffne nochmal ZOEK und kopiere untenstehende Code in das Textfeld:

Code: Alles auswählenAufklappen

ATTFilter

[-HKEY_USERS\S-1-5-21-3253821770-2429440619-825303248-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{069B290F-5398-4629-A009-85B4BCB4B1B9}];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Shopper2];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\softonic-de3 Toolbar];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB Toolbar];r
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\claro];r
         

Drucke "Run Script".

Poste mir das Logfile.



Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo,

hat leider ein bisschen gedauert weil ich Probleme mit der Teamviewer-Sitzung hatte.
Die beiden LOG-Files sind nun im Anhang.
Der Bekannte ist jetzt leider nicht mehr zuhause, bei einem Neustart des Rechners komme ich erst wieder um 14 Uhr in das System, da kommt er kurz heim, danach geht er nochmals weg, und kommt erst gegen 18Uhr wieder heim.

für deine großartige Hilfe

Ich denke wir sind fast fertig

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hello,

sorry für die späte Nachricht - Combofix hatte mich aus dem System geschmissen das es ja die Internet-Verbindung trennt, deshalb musste ich warten bis der Bekannte nach Hause kommt.
Jedoch habe ich das Problem das Combofix anscheinend nicht ganz durchläuft, er startet das Programm zwar, bricht dann aber anscheinend irgendwann in der Überprüfung ab.
Habe es jetzt schon zum 4.mal gestartet, bekomme aber kein LOG-File, da es nicht durchläuft - warum kann ich leider nicht sagen.

Habe nach dem 3 Versuch mit Combofix mal den SecurityCheck drüberlaufen lassen, wovon ich dann auch gleich das LOG-File erhalten habe - befindet sich im Anhang.

Vielen vielen Dank