Zitat:

Zitat von john.doe

Hier ist kein MbAm drin.
Starte die Datei uiop.exe. Sollte sich mbam.exe nicht starten lassen, dann benenne sie um in asdf.com

Du hast da die Pest, darauf wird es hinauslaufen. Das Problem ist nur, du musst vorher sauber sein, ansonsten ist das Neuaufsetzen sinnlos, wie bei ihm hier: http://www.trojaner-board.de/68712-a...-boot-com.html

Und wenn du folgende Frage nicht beantwortest, dann ist das hier mein letztes Post.

Wo hast du die besagte Datei her?

ciao, andreas

ich weiss nicht ob ich das hier so posten darf als link. machs mal so:

gelöscht! lupo10

hoffentlich bekomm ich jetzt keinen rüffel.
da macht man einmal einen fehler weil man naiv ist und dann sowas ( die pest meine ich)

also Malwarebytes Anti-Malware läuft gerade noch. nach der installation ist aber die aktualisierung fehlgeschlagen. ich hoffe, das macht nix.

eigentlich habe ich den rechner immer an. also immer online. es wäre wohl besser wenn ich erstmal die kiste vom netz trenne und vorerst nix kaufe oder? ( ebay, Paypal usw.) internetbanking mache ich nicht


gruß lupo10

Zitat:

ich hoffe, das macht nix.

Doch das macht was. Ein weiteres Indiz, wie verseucht deine Kiste ist.

Zitat:

... es wäre wohl besser wenn ich erstmal die kiste vom netz trenne...

aber unbedingt.

Klick auf Editieren und entferne den Link. Ich habe mich immer gewundert, wo das Zeug herkommt, jetzt weiß ich es endlich. Aber eigentlich wußte ich es schon vorher.

Hier der dritte Absatz:
http://www.trojaner-board.de/67943-i...tml#post404015

Oder meine Anleitung zum Einfangen von möglichst vielen Schädlingen in möglichst kurzer Zeit wird auch gerne befolgt. Besonders Punkt 6:
http://www.trojaner-board.de/65373-b...tml#post396401

http://www.trojaner-board.de/68736-t...tml#post406700

http://www.trojaner-board.de/69023-h...tml#post408432

http://www.trojaner-board.de/66713-n...tml#post399820

Liste lässt sich fortsetzen.

Hänge alle externen Datenträger, die jemals am Computer angesteckt wurden, vor dem Scan an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Malwarebytes Anti-Malware läuft jetzt seit 23min und hat knapp 80000 datein gescannt, aber noch nix gefunden.

gruß lupo10

da ich morgen früh raus muss, wird es jetzt für mich zeit...
ich trenn den rechner per kabel vom netz und befolge moregen andreas' anweisungen in der hoffnung, das ich den rechner so retten kann ohne neuaufsetzen.

dankeschön bis hierher schon mal und gruß lupo10

Nein. Neuaufsetzen musst du in jedem Fall. ComboFix wird dafür sorgen, das die anstehende Neuinstalltion nicht sinnlos ist.

ciao, andreas

kurz vor der arbeit:
gut, dann werd ich mich wohl darum bemühen müssen, den rechner neu auf zu setzen. hab da aber noch ne frage oder besser zwei:
was passiert, wenn ich's nicht mache nach der bereinigung?

kann ich, nach der bereinigung, noch teile sichern? beispielsweise dateien oder kleine dinge wie lesezeichen oder meine ganzen emails??

gruß lupo10

Hallo,

unter Start -> Programme -> Zubehör -> Systemprogramme gibt es einen Assistenten, mit dem man Benutzerdateien (Eigene Dateien/Mails/Lesezeichen) in eine Datei exportieren, und somit sichern kann. Auf den neu installierten System kann man dann dieses Archiv importieren.

Dann besteht aber immer noch das Problem, dass du dazu eine externe Festplatte brauchst, um die Sicherungsdatei zu erstellen!

Sobald Du die an den Rechner anstöpselst war es das, dann haste den Wurm auch da drauf! Wenn Du dann ein sauberes System aufsetzt, und die Festplatte dann dran hängst, geht das Spiel von neuem los!

So oder so, ohne eine alte Datensicherung hast Du verloren!

Sorry,

Jörg

P.S. Ich hoffe es at jemand eine bessere/andere Idee

so kurz mittagspause.

ich bin mir glaube ich jetzt erst bewusst, was ich da angestellt habe und habe erstmal vom rechner meiner frau, laptop per wlan allle wichtigen passwörter geändert und die kreditkarte sperren lassen.
so weit meine kenntnisse reichen, ist der rechner ( laptop) ja sicher oder?
ich verbinde mich per wlan auf unseren router, der nun nicht mehr per lan kabel mit meinem desktop rechner verbunden ist. bitte sagt mir nicht, der rechner ist auch in gefahr...

gut, dann fehlt mir noch einiges an erklärungen:
was macht der wurm/trojaner auf meinem rechner genau?
was macht er, wenn ich den pc für eine neuaufsetzung reinige?
was macht er, wenn der pc keine verbindung zum netz hat?

da der rechner schon über 4 jahre alt ist, habe ich mir überlegt, ich setze ihn nicht neu auf.
ich wollte ihn so weit reinigen, wie es mir hier empfohlen worden ist. sprich bis zum punkt, wo eigentlich die neuaufstzung beginnen kann. jetzt kommts:
ich setze ihn nicht neu auf und lasse ihn in der ecke stehn.
ich kauf mir einen neuen pc und betreibe den dann per lankabel an meinem router. kann doch nix passieren oder?
jetzt die frage, wozu den alten noch behalten...
ich werde ihn nie wieder online schalten/stecken, ich möchte ihn nur dann anmachen, wenn ich wichtige daten einsehen möchte. sollte ich doch etwas brauchen zum beispiel ein word dokument oder so, dann kann ich es doch auf cd/ dvd brennen und nutzen oder? wenn ja, wie verhindere ich dann, das der noch auf dem alten system wartende trojaner ins neue kommt?
ich hoffe, ich habe mich nicht zu umständlich ausgedrückt und bekomme hier eine antwort die ich verstehen kann.
abschliessend möchte ich mich hier noch einmal ganz herzlich bedanken, das man mir hier in aller deutlichkeit gesagt hat, das das was mir widerfahren ist nicht auf die leichte schulkter zu nehmen ist. Dankeschön, ihr habt wohl eine finazielle krise bei mir verhindert!!

gruß lupo10

Zitat:

Zitat von lupo10

so kurz mittagspause.

gut, dann fehlt mir noch einiges an erklärungen:
was macht der wurm/trojaner auf meinem rechner genau?
was macht er, wenn ich den pc für eine neuaufsetzung reinige?
was macht er, wenn der pc keine verbindung zum netz hat?

gruß lupo10

was macht der wurm/trojaner auf meinem rechner genau?

Ein Trojaner ist ein Programm das
A): Informationen sammelt und an einen Server weiter leitet => Keylogging, soll heißen, alles was Du in deine Tastatur klimperst, wird 1 zu 1 aufgezeichnet, das geht soweit, das auch der Bildschirminhalt mitgefilmt werden kann!

B): Eine Hintertür für eine anderen 'Administrator' öffnet zum Zwecke der 'Fernadministration', meist wird dann auch noch Ontop neue Software aus dem Internet nachgeladen. Das wird meistens gemacht, um einen Mailserver (für Spammails), oder andere 'nützlichen' Tools zu installieren, die man so braucht. Wenn dein kompletter PC plötzlich inklusive Internetverbindung langsamer wird, passiert im Hintergrund was, was Du nicht siehst ;-)!

Zusammengefasst, ist ein Trojaner ein IT-Vorschlaghammer der Dir deine Betriebssystem Sicherheit zertrümmert! Wenn Du einen Trojaner im System stecken hast, gehört dir dein Rechner nicht mehr!


was macht er, wenn ich den pc für eine neuaufsetzung reinige?
Da einige Programme schon die Fähigkeiten haben Antivirussoftware zu übernehmen, kannst man nach 'erfolgreichen' Virencheck nicht sicher sein, dass das System sauber ist!
Wenn Du dein System 'gereinigt' hast, und dann alte Dateien zurück spielst, kann der ganze Mist auch wieder zurück gespielt werden!

Das beste wäre ein Systemcheck mit einer Boot-CD, am besten Knoppix/Knoppicillin oder sowas. Schau da mal bei Heise nach!

was macht er, wenn der pc keine verbindung zum netz hat?
Dann ist er sicher!
Weil keine Schadsoftware nachgeladen werden kann, kein Fernzugriff erfolgen kann usw.!


Das mag sich alles sehr negativ anhören, ist aber leider so!

Immer Backup/Antivirus (aktuell)/ Firewall (nur nicht die SystemFW von Windows) / neueste Softwareupdates aufspielen!

UND NIEMALS DEN RECHNER ONLINE ALS ADMIN BENUTZEN! IMMER MIT EINEM USERACCOUNT!

Dann sollte man eigentlich keine Probleme bekommen!

Zitat:

so weit meine kenntnisse reichen, ist der rechner ( laptop) ja sicher oder?

Das Zeug ist die Pest. Es verbreitet sich auf mehreren Wegen. Über Netzwerkfreigaben und externe Datenträger. Solltest du z.B. eine Memorystick an dem infizierten Rechner haben und den am Laptop angesteckt haben, dann war es das.

Zitat:

bitte sagt mir nicht, der rechner ist auch in gefahr...

Sollten beide im gleichen Netzwerk gewesen sein, dann kann es zu spät sein. Er versucht sich auch über Netzwerkfreigaben zu verbreiten. Falls du kein sicheres Passwort benutzt, dann war es das.

Zitat:

was macht der wurm/trojaner auf meinem rechner genau?

Der "Keygen" ist ein typischer Trojaner. Er gab vor ein Keygen zu sein, in Wirklichkeit ist es ein nur 8,5KB großer Trojan.Downloader. Er benutzt Rootkit-Techniken um sich zu installieren. Und dann fängt er an Daten aus dem Internet zu laden und zu starten. Deshalb habe ich das MbAm-Log angefordert, um zu sehen, was er runtergeladen hat.

Zitat:

was macht er, wenn ich den pc für eine neuaufsetzung reinige?

Dann ist er weg, aber er hat eine Hintertür eingebaut, so dass ein Mensch Zugriff auf deinen Rechner hatte. Was der gemacht hat: Keine Ahnung. Was er gemacht haben kann steht hier: http://www.trojaner-board.de/65029-t...tml#post394394

Zitat:

was macht er, wenn der pc keine verbindung zum netz hat?

Dann befällt er weiterhin jeden externen Datenträger, den du ansteckst. Der wiederum befällt dann weitere Rechner. Die wiederum weitere Datenträger infizieren, usw. ohne Ende. Das ist der Grund, warum du unbedingt ComboFix laufen lassen musst, egal ob du Neuaufsetzt oder nicht.

Zitat:

ich kauf mir einen neuen pc und betreibe den dann per lankabel an meinem router. kann doch nix passieren oder?

Falls das Laptop nicht infiziert wurde, dann nicht. Falls doch, dann ist auch er dran.

Zitat:

sollte ich doch etwas brauchen zum beispiel ein word dokument oder so, dann kann ich es doch auf cd/ dvd brennen und nutzen oder?

Da hat wohl jemand das Problem noch immer nicht verstanden. Halbwegs sicher sein kannst du, wenn du mit einer Linux Live Cd die Daten sicherst (keine Programme oder ausführbaren Dateien!), wie z.B. mit KNOPPIX Linux Live CD.

Zitat:

wenn ja, wie verhindere ich dann, das der noch auf dem alten system wartende trojaner ins neue kommt?

Ja, das ist bei dem Teil gar nicht so einfach. Schau doch mal hier, hier hat jemand dreimal Neuaufsetzen müssen, um einen Rechner wieder sauber zu bekommen.
http://www.trojaner-board.de/68712-a...ht=autorun.inf
Also lerne daraus und stelle bei sämtlichen Rechner die Autoplayfunktion ab.

Zitat:

Dankeschön, ihr habt wohl eine finazielle krise bei mir verhindert!!

Nein, die Gefahr ist noch nicht vorüber. Entweder du erledigst ihn komplett oder du läufst ständig Gefahr alle deine Rechner zu infizieren.

ciao, andreas

so, ich war eben bei mediam und habe mir einen rechner dort angeschaut und werde ihn wohl gleich noch holen.

noch mal zur verständnis:

bisher hat das laptop noch keine anzeichen gemacht, das irgend etwas nicht stimmen könnte. es war und ist immer noch nie per lankabel mit dem anderen rechner verbunden oder mit dem router, sondern immer nur per wlan.
wie,womit checke ich am besten das laptop damit der neue nicht wieder gleich infiziert wird.
sorry für die dummen fragen, aber ich möchte nicht wieder so'n ding ( Pest) haben!

wie schon im ersten threat von mir beschrieben, habe ich die symptome erst seit samstag/sonntag gemerkt. seit dem habe ich weder einen stick oder ähnliches am verseuchten pc betrieben. ich habe alle externen festplatten immer stromlos, da ich sie nicht so oft brauche. usb ist zwar eingesteckt, doch die netzstecker der externen platten haben keinen strom, da ich deren steckdosen immer stromlos habe und nur bei gebrauch einschalte. aber ich nehme an, es ist wohl trotzdem besser, sie mit zu reinigen wenn ich sie weiterhin gefahrlos nutzen möchte oder? das problem darin besteht nur, ich könnte mir vorstellen das die reinigung der unmengen an daten nicht gerade in 15 min abgeschlossen ist und die dinger gehen nach ein paar minuten nichtstun in den stromsparmodus, so das eine reinigung wahrscheinlich nicht erfolgen würde oder? wie mach ich denn das?

also das ich daten, die ich vom alten rechner auf den neuen übertrage, erst checken muss ist mir klar.
ich will da nicht unmengen an daten übertragen. nur zum beispiel lesezeichen von firefox evtl die email-dateien, fotos und ein paar filmdateien. wie bekomme ich die sauber und kann sie dann gefahrlos übertragen? gar nich? auch nicht die lesezeichen?

ich habe wie schon geschrieben, heute mittag alles wichtige geändert ( von diesem laptop, wo ich noch nicht weiss, ob er sicher ist). eigentlich könnte ich ja mit der verseuchten kiste online gehen oder? wenn ich keine brisanten daten eingebe, kann mir doch nichts passieren oder liege ich da falsch?

wenn ich wenigstens die lesezeichen sauber rüber bekomme, dann wär ich schon um einiges weiter. und die externen festplatten müssen auch sauber sein.

noch was anderes, wie bomme ich mit das mein pc befallen ist, ich meine früh genug, nicht wenn es zu spät ist und ich eine reinigung machen muss.


danke für eure tips und hilfestellung nochmal!

und wie bekomme ich weitere infos vom verseuchten rechner auf diese seite? online gehen oder?

welche reihenfolge ist am besten?

laptop prüfen, wenn ja womit,
alte kiste reinigen wie schon von euch beschrieben und erst dann den neuen aufstellen und nutzen?

was für sicherheitssoftware sollte ich eurer meinung darauf aktivieren und installieren??

danke noch mal!

ichhol jetzt den neuen von mm, bin deshalb kurz weg

gruß lupo10

hab jetzt mal Malwarebytes Anti-Malware übers laptop laufen lassen und das ist die log:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1721
Windows 5.1.2600 Service Pack 2

03.02.2009 20:09:32
mbam-log-2009-02-03 (20-09-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 114067
Laufzeit: 21 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bisher sieht das gut aus oder? ich lasse es gerade von einem onlinescanner durchforsten ( Panda ).
da ich aber sicher gehen möchte, das es nicht befallen ist, hätte ich noch zeit, andere programme drüber laufen zu lassen.
welche wären das am besten?

gruß lupo10

hier mal das log von Malwarebytes nach dem ersten scan ( desktop-PC):
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.02.2009 20:45:31
mbam-log-2009-02-03 (20-45-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|K:\|M:\|)
Durchsuchte Objekte: 201253
Laufzeit: 1 hour(s), 16 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
K:\Incoming verschoben\Music\FunPhotor_v10.17\FunPhotor v10.17\reg\FunPhotor v10.17 Zeallsoft Serial.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.


dann neustart und quickscann:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.02.2009 21:23:43
mbam-log-2009-02-03 (21-23-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55572
Laufzeit: 3 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1cdc7688-c377-4f26-80b0-9ad70c181611}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1cdc7688-c377-4f26-80b0-9ad70c181611}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.


kann man da schon was sagen?

gruß lupo10