Guten Morgen!

Ich bin neu hier und gebe mir Mühe, euren Anforderungen gerecht zu werden. Allerdings ist es schwierig, sich in diesem Dschungel zurecht zu finden. Das liegt natürlich nicht an euch, denn diese Webseite ist sehr gut gelungen und ihr versucht, diese komplizierten Abläufe einfach darzustellen.

Nein, es liegt wohl an mir! Ich war zunächst äußerst hektisch, als mich zum erstenmal in diesem Leben ein Trojaner erwischte:

Virus Total findet ihn mit folgenden Programmen unter folgenden Namen:

BitDefender und GData: Trojan.Silentbanker.E
F-Secure: Trojan.Win32.Agentaflz
Fortinet: Virus.W32/Agent.AFLZ!tr
Ikarus: Virus.Trojan.Win32.Agent.aflz
Kaspersky: Trojan.Win32.Agent.aflz
Micrisoft: PWS:Win32/Yaludle.APrevxl: Banking Info Stealer
SecurWebGateway: Trojan.PSW.LooksLike.Yaludie
Sophos: Mal/Generic-A

Gefunden wurde er von mir bei Antivir:

In der Datei 'C:\WINDOWS\system32\6829279361.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Löschen mit Antivir klappte nicht-, der Trojaner tauchte ständig wieder auf und meldete mit Piepsen jeweils 8fach einen Fund in der o.a. cpx-Datei. Und dann tat ich etwas, vor dem ihr warnt (hab ich erst hinterher gelesen) und habe etliche Malwareprogramme durchlaufen lassen.

Malwarebytes´Antimalware hat den Virus dann gefunden und die Löschung scheint funktioniert zu haben, denn Antivir findet ihn nicht mehr!

Bin ich jetzt sicher? Ist noch etwas zu tun! Ich will nicht das ganze System crashen!?

Im Übrigen benutze ich keine gecrackte Software!!!

Hijack - Logfile lässt sich nicht hochladen, daher poste ich sie so:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:40, on 07.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 85.214.81.70 l2authd.lineage2.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5615 bytes

Der Virus wurde im Übrigen schon hier gepostet. Da der Post nicht viel hergab und weder den Hijack.log noch andere Hinweise enthielt und ich keine Antwort in dem Thread verfassen kann, habe ich einen neuen Thread gepostet.

Auch andere Internetseiten weisen auf die verschiedene Funde dieses Trojaners in den letzten Tagen vermehrt hin! Es scheint ein aggressives Kerlchen zu sein!

http://www.trojaner-board.de/61364-t...gent-aflz.html
http://www.trojaner-board.de/61407-s...ifizieren.html
http://www.trojaner-board.de/60550-s...r-ist-tot.html
http://www.trojaner-board.de/60918-s...ys-values.html

Neue Logdatei nach Entfernen der Malware: :aplaus:


ähem:

Der kleine Mistkerl hat sich zurückgemeldet!

Fund durch Antivir - Malwarebytes´Antimalware findet ihn nicht mehr!

Erste Maßnahme: Alle Konten - Pins über anderen Rechner geändert!

Jetzt gehts los: Ich werde, sofern keine andere Anweisung kommt, mit der Windows - CD booten und zunächst den Bootsektor neu schreiben lassen!

Mal sehen, was es hilft, ich komme dann neu!

Wo genau hat Antivir den silentbanker gemeldet?

In der Datei 'C:\WINDOWS\system32\6829279361.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

Nutz bitte einmal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.