Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\nukatojo.dll
C:\WINDOWS\system32\wogutopa.dll
c:\windows\system32\bisomasu.dll
C:\WINDOWS\system32\tosokevo.dll
C:\WINDOWS\system32\pikumivu.dll
         

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Bin leider immer noch bei Punkt 1) weil ihr PC will mich nicht auf die Seite von Virustotal verbinden...
Weder von hier,noch bei google oder selbsteingabe
aber wir hatten auch eine Virustoal-Seite bei google gefunden,wo es klappt.
Ist das denn richtig,dass man denn was runterladen muss?
Weil bei ihr kommt immer dieses Download-Fenster.
Und wenn man es runtergeladen hat,kann man es nicht lesen.
Wir wissen auch nicht,welches Programm das lesen kann...

Mach mal erst das:
Start => Ausführen => devmgmt.msc eingeben und Enter drücken
Gehe zu Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort den Treiber TDSSserv.sys deaktivieren und andere TDSS Treiber.
=> Rechner neustarten, Links nochmal probieren.

Danke Silent Shark hat wunderbar geklappt*knutsch*:aplaus:
Aber jetzt noch ne Frage und zwar,was ist mit den Prüfnummern genannt?
Mit der Dateigröße ist bestimmt File Size bei "weitere Informationen" gemeint oder?
P.S.nukatojo.dll is durchgelaufen...
16 Trojaner x.x

Oben ist das Ergebnis, unten die Prüfnummern, alles mitkopieren.

ok^^
dann mal los...(ich poste mal jeden einzelnd weil ich glaube das wird sonst zu unübersichtlich)
nukatojo.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.28 Win-Trojan/Agent.62464.BY
AntiVir 7.9.0.36 2008.11.28 -
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.28 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.11.28 BHO.GKT
BitDefender 7.2 2008.11.28 Trojan.Vundo.GAI
CAT-QuickHeal 10.00 2008.11.28 Trojan.Agent.aoyc
ClamAV 0.94.1 2008.11.28 -
DrWeb 4.44.0.09170 2008.11.28 Trojan.DownLoad.12946
eSafe 7.0.17.0 2008.11.27 Suspicious File
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.28 -
F-Prot 4.4.4.56 2008.11.28 -
F-Secure 8.0.14332.0 2008.11.28 Trojan:W32/Vundo.BP
Fortinet 3.117.0.0 2008.11.28 -
GData 19 2008.11.28 Trojan.Vundo.GAI
Ikarus T3.1.1.45.0 2008.11.28 -
K7AntiVirus 7.10.537 2008.11.28 -
Kaspersky 7.0.0.125 2008.11.28 -
McAfee 5448 2008.11.28 -
McAfee+Artemis 5448 2008.11.28 -
Microsoft 1.4104 2008.11.28 Trojan:Win32/Vundo.JD.dll
NOD32 3650 2008.11.28 a variant of Win32/Adware.Virtumonde.NDI
Norman 5.80.02 2008.11.28 W32/Agent.JLME
Panda 9.0.0.4 2008.11.28 -
PCTools 4.4.2.0 2008.11.28 -
Prevx1 V2 2008.11.28 -
Rising 21.05.42.00 2008.11.28 Trojan.Win32.VUNDO.buj
SecureWeb-Gateway 6.7.6 2008.11.28 Win32.Malware.gen!92 (suspicious)
Sophos 4.36.0 2008.11.28 Troj/Virtum-Gen
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.28 Trojan Horse
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 -
ViRobot 2008.11.28.1491 2008.11.28 -
VirusBuster 4.5.11.0 2008.11.28 -
weitere Informationen
File size: 62464 bytes
MD5...: 86ce2265f134a1c250b5f3193f438f81
SHA1..: 4cd7e41de80064e7aed3cf257ef251c1375b6253
SHA256: 5fd0b7df590d088938bf52b7a94348febb2905582fa120758e540f761f481f70
SHA512: e8f7ddeeaba7d60b92424a58d86529e2c28ef36ac8224475d8c7777b941714f7
0103147781dd82b453d7933fda2f085e0cfe53883402f2078a8c3eddbebafe42
ssdeep: 768:/aluaTWBwhMNqiR4lZVb/DYNBedNHveftNgD6AfIiVYoQyUYRX8eRWAzfExS
:/AuVaoZYV3mgkekoQy/l8fIExS
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100011a3
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
text 0x1000 0x4c2d 0x4e00 7.83 3727d9a8ebe6d6c2217467864adf5e03
.rdata 0x6000 0x2f33 0x3000 7.89 b97f711bb3fbcd6cfabbcd8147a193e4
.data 0x9000 0x5bee 0x5c00 7.99 7c5376886daa0365d46efd2592bc2655
.idata 0xf000 0x59b 0x600 0.00 53e979547d8c2ea86560ac45de08ae25
.rsrc 0x10000 0x410 0x600 2.52 c746e50f847a547496e658ea1d1f1c28
.reloc 0x11000 0xc6b3 0xa00 0.71 b0bb4ff51b656bdbf8c501f0ecb27e4d

( 4 imports )
> user32.dll: GetFocus, DestroyWindow
> KERNEL32.dll: HeapFree, GetVersionExW, ExitProcess
> advapi32.dll: RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegEnumValueA
> comdlg32.dll: GetOpenFileNameW, GetFileTitleW

Ich hoffe das geht so,wegen dem verschieben x.x