Schönen Abend,

ich bin aufgrund von meinem Befall und der google suche auf euer board gestoßen, ich hoffe ihr könnt mir vlt weiterhelfen...

Also zum Problem, ich habe eine Aktuelle Version der GData Internet Security.

So habe dann gestern mal einen Check gemacht, aufgrund von gewisser Ungeriemtheiten. Denn es ist so, mein Prozessor lief sonst im normalbetrieb bei 0-3% Leistung, plötzlich ist er bei 40-50% dauerhaft. (!!!)

Nun habe ich bei diesem Scan eine vielzahl an böser soft erkannt und diese in Quarantäne gebannt, nur keine besserung. Das untere Bild zeigt meinen Aktuellen Quarantäneordnder, die schwarzen Striche sind zensuren empfindlicher Informationen.



edit: Sehe gerade, das bild ist recht schwer zu lesen, wenn es nicht geht lade ich es nochmal neu hoch, verzeiht mir bitte. /edit:


So nun meine Frage, kann mir evt einer helfen? Ich habe erste Schritte bereits eingeleitet und an einem fremden Rechner sämtliche Passwörter geändert. Weiterhin habe ich mein OnlineBank Account sperren lassen.
So nun hoffe ich, ich habe mich zumindest auf erstem Schritt in Sicherheit gebracht. nur möchte ich schon mein system wieder sauber haben. :-(

Ich benutze Windows XP Home SP3 und Firefox 3.0.3, weiterhin besitze ich keinen IExplorer mehr, daher muss diese iexplorer.exe in meinen Prozessen etwas böses sein.


Ich habe hier viele detaillierte Anleitungen lesen können. Nur wollte ich nichts auf eigene Faust und ohne "führende Hand" in Angriff nehmen.

Ich bin für jede Hilfe sehr Dankbar und hoffe ich bin noch nicht verloren.

Liebe Grüße, der Elmo...

Hallo nochmal,

Sorry für das Doppelposting, aber ich kann nicht mehr editieren...

Hier das Bild noch einmal leserlicher...






Ich hoffe mi kann einer helfen, und sofern ich gegen irgendwelche boardregeln verstoßrn habe, bitte ich darum mich aufzuklären. Aber soweit ich es ersehen kann, habe ich mich an di vorschriften gehalten.


edit: Habe gerade mit dem SecurityTaskManager nen paar prozesse untersucht, nun habe ich die iexplorer.exe gefunden. Diese lässt keineswegs löschen, auch nicht shreddern durch GData. Es ist sogar so, das mir angezeigt ird, wie sie geshreddert wird, aber dann immer wieder auftaucht. Es handelt sich ja offensichtlich um etwas böses, kann man denn da nicht mit hilfe eines Editors oder anderweitigen prgrammen den Virus so um schreiben, das er kein potenzial mehr hat? Sorry, wenn diese frage dumm sein sollte, aber ich habe auf diesem gebiet null Fachwissen.
/edit.
Naja
Liebe Grüße, der Elmo...

Hallo nochmal,

ich weiß nicht ob ich irgendwas falsch gemacht habe, aber kann mir denn keiner helfen? :-(

Falls an meinem Titel etwas auszusetzen ist, dann löscht bitte das thema, und gebt mir einen Hinweis wie ich es besser gestalten könnte.

Der Titelanfang mit "Hi@All..." war so gewählt, da das mein erster Post hier war und ich eine allgemeine Begrüßung aussprechen wollte. Wenn daran etwas auszusetzen ist, tut es mir leid.

Ich hoffe ihr könnt mir helfen bzw. meinen PC noch retten...

Vielen Dank im voraus und liebe Grüße,

der Elmo...

Hallo

Zitat:

ich weiß nicht ob ich irgendwas falsch gemacht habe, aber kann mir denn keiner helfen? :-(

wirklich falsch gemacht nicht, aber die Fundorte hättest du bspw. nicht schwärzen sollen bzw. die kompletten Pfade angeben sollen

Benutze bitte mal den CCleaner zum aufräumen und

Zitat:

deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

anschließend führe ein Update deines Antivirenprogramms durch und mach einen Scan des gesamtem Systems.

Die deskbar.dll lass bitte hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo und vielen herzlichen Dank für deine Antwort, :-) !!

Also um noch etwas genauer zu werden, ich bin ja nicht untätig gewesen und habe einiges schon versucht. Es läuft gerade ein Malwarebyte Scan, der bereits 12 infizierte objekte entdeckt hat.

Auch die "iexplorer.exe" habe ich eliminiert, indem ich in den abgesicherten modus ging und den entsprechenden Ordner dort gelöscht habe. (--> hoffe das war kein fehler...) Seither ist in bezug auf diese exe schonmal ruhe.

So desweiteren, die deskbar.dll ist nicht mehr da, da der ganze ordner nicht mehr existiert. Das war so, ich habe von der chip-zeitung diesen Brockhaus2007 digital installieren wollen. Dabei gab Gdata dann die Meldung der deskbar.dll raus, woraufhin ich mit doch leicht verärgerter stimmung, dass prog. gleich wieder deinstallierte. Was hierzu noch zu sagen wäre, zudem zeitpunkt, als das war hatte ich noch nicht einmal Internet also keine externe infektion möglich, die sich dann mit einbringen wollte...

Oh, ja ich sehe, der kommplette Pfad fehlt ja, tut mir leid, da war ich aus lauter sorge um mein system ein Esel.

Also ich poste jetzt direkt mal mein malwarebyte log.
Ich werde dann warten und sofern ich ein okey erhalte die gefundenen objekte löschen. :-)

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1225
Windows 5.1.2600 Service Pack 3

01.10.2008 18:49:35
mbam-log-2008-10-01 (18-49-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 143707
Laufzeit: 47 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Loemker\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.
         

Ich habe im log gelesen "nichts böses entdeckt", nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr, ich habe aber den spydoctor sofort wieder entfernt, als er von mir wollte, dass ich ihn kaufe um etwas tun zu können außer scannen und da hatte ich was gelesen, dass das eine methode sei um daten zu erhaschen. Deshalb wurde ich misstrauisch.

Also nochmal herzlichen Dank für deine Antwort und bitte sag doch noch einmal, soll ich jetzt wie in deinem vorigen Post verfahren oder erstmal die von malwarebyte gefundenen entfernen?

Übrigens, habe gerade nochmal geschaut, die "addon.dat" war die von "spydoctor" als gefährlche datei indentifizierte.


Danke, liebe Grüße, der Elmo...

Hallo

Zitat:

Auch die "iexplorer.exe" habe ich eliminiert, indem ich in den abgesicherten modus ging und den entsprechenden Ordner dort gelöscht habe. (--> hoffe das war kein fehler...) Seither ist in bezug auf diese exe schonmal ruhe.

was für ein Ordner und welche Dateien haben darin befunden?
Hast du diese Dateien überprüfen lassen?

Zitat:

So desweiteren, die deskbar.dll ist nicht mehr da, da der ganze ordner nicht mehr existiert. Das war so, ich habe von der chip-zeitung diesen Brockhaus2007 digital installieren wollen. Dabei gab Gdata dann die Meldung der deskbar.dll raus, woraufhin ich mit doch leicht verärgerter stimmung, dass prog. gleich wieder deinstallierte. Was hierzu noch zu sagen wäre, zudem zeitpunkt, als das war hatte ich noch nicht einmal Internet also keine externe infektion möglich, die sich dann mit einbringen wollte...

OK

Zitat:

Ich werde dann warten und sofern ich ein okey erhalte die gefundenen objekte löschen. :-)

bitte alle Funde beseitigen lassen.

Zitat:

nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr, ich habe aber den spydoctor sofort wieder entfernt, als er von mir wollte, dass ich ihn kaufe um etwas tun zu können außer scannen und da hatte ich was gelesen, dass das eine methode sei um daten zu erhaschen.

Ich verstehe nicht ganz, wurde etwas gefunden oder nicht

Zitat:

Übrigens, habe gerade nochmal geschaut, die "addon.dat" war die von "spydoctor" als gefährlche datei indentifizierte.

da der Doc nicht mehr auf deiner Platte zugegen ist lass die Datei mit entfernen.

Zeige uns doch mal ein HijackThis Log.

MFG

Zitat:

Zitat von Elmo86

Ich habe im log gelesen "nichts böses entdeckt", nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr...

also wenn eine backdoor vorhanten sein sollte wird man nicht ums Neuaufsetzen drum kommen.