Mehrere Trojaner Meldungen!

john.doe · 23.04.2009, 17:06

1.) Deinstalliere/lösche (falls möglich):

Avenger
Azureus
(BT)DNA
Askbar/Foxit-Toolbar
Google Toolbar
Google Update
SuperAntiSpyware

2.) Entscheide dich für ein Antivirenprogramm und deinstalliere das andere.

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
gupdate1c9860acb7b998c
TF0802

RegLockDel::
[HKEY_USERS\S-1-5-21-2374629191-3695367775-1483651067-1000_Classes\CLSID\{4946c6de-e56a-45a0-afe4-32ead996d851}]
[HKEY_USERS\S-1-5-21-2374629191-3695367775-1483651067-1000_Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

RegLock::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{0666bbce-b220-4e79-bbfb-de8020b28d09}]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{67bf6388-2926-4e0a-a12a-7689c318feec}]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{8063b8bf-e98a-4896-b59a-0ac70752649b}]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{b84a1816-169e-4edc-b4e2-dc80f1e743d6}]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba9e677f-0ef8-4bb2-a3e5-3ba5c63d1e87}]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bd079524-c3c7-43eb-b6ee-82d09fa7a431}]

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{398a7186-ba70-11dc-81f8-00196642118c}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
"ISUSScheduler"=-
"ISUSPM"=-
"swg"=-

Folder::
c:\users\Besitzer\AppData\Roaming\SUPERAntiSpyware.com
c:\programdata\SUPERAntiSpyware.com
c:\users\All Users\SUPERAntiSpyware.com
c:\program files\AskBarDis
c:\program files\Google\GoogleToolbarNotifier
c:\program files\Google\Update
c:\program files\azureus
c:\program files\DNA
c:\users\Besitzer\AppData\Roaming\Azureus

File::
c:\windows\System32\perfh007.dat
c:\windows\System32\perfc007.dat
c:\users\Besitzer\AppData\Local\GDIPFONTCACHEV1.DAT
c:\windows\Tasks\GoogleUpdateTaskMachine.job

DirLook::
C:\Malware

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

FrozenSpirit · 23.04.2009, 18:55

Hab alles gemacht! auch alles deinstalliert aber trotzdem hab ich SUPERAntiSpyware und azureus im log gesehen is das schlimm?

http://www.file-upload.net/download-1601118/ComboFix.txt.html

john.doe · 23.04.2009, 19:19

Zitat:

trotzdem hab ich SUPERAntiSpyware und azureus im log gesehen is das schlimm?

Nö. Das sind alles nur Reste. ComboFix kriegt alles klein und wenn ich am Scripten bin, dann lösche ich sowieso alles weg.

Gibt es eine Besserung?

ciao, andreas

FrozenSpirit · 23.04.2009, 19:30

ja ich krieg jetzt keine meldungen von gar nix mehr!
ich denke es ist überstanden!
oder was meint der profi?^^

john.doe · 23.04.2009, 19:45

Da waren aber auch fiese Schädlinge dabei, solange hab ich noch nie gebraucht um ein Log zu lesen.

1.) Start => Ausführen => combofix /u => OK

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Cureit Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

ciao, andreas

FrozenSpirit · 24.04.2009, 10:30

Der Kaspersky-Internet-Scan funktioniert bei mir leider nich!
Ich benutze zwar IE8 aber es wird nur ein weißes Fenster angezeigt sobald ich auf ihn drücke! Das ist auch der Fall wenn ich die Kompatibilitätsansicht verwende oder meine Firewall ausschalte!

john.doe · 24.04.2009, 15:13

Wenn der Kasper nicht will, dann nimmst du eben den hier:

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

FrozenSpirit · 24.04.2009, 19:45

der scan braucht schon über 3 stunden und ist erst bei 42 prozent!
er hat bis jetzt eine infizierte datei gefunden!
soll ich abbrechen und es moren nochmal versuchen oder den pc übernacht laufen lassen?
er ist nich stehen geblieben aber braucht eben sehr sehr lange!

john.doe · 24.04.2009, 19:49

Zitat:

soll ich abbrechen und es moren nochmal versuchen oder den pc übernacht laufen lassen?

Laufen lassen.

Zitat:

er ist nich stehen geblieben aber braucht eben sehr sehr lange!

Bereinigungen dauern immer länger als Neuaufsetzen, aber das schrieb ich wohl schon mindestens 3000mal.

Zitat:

er hat bis jetzt eine infizierte datei gefunden!

Was hat er wo gefunden?

ciao, andreas

FrozenSpirit · 24.04.2009, 19:56

Zitat:

Zitat von john.doe

Was hat er wo gefunden?

ciao, andreas

das ist bei diesem scan nicht ablesbar! warscheinlich erst aus dem logfile!

john.doe · 24.04.2009, 19:57

OK. Dann bis morgen.

ciao, andreas

FrozenSpirit · 24.04.2009, 20:20

War jetz doch auf einmal fertig... komisch!

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-04-24 21:18:44
PROTECTIONS: 2
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 7.0.3.158
No Yes
Windows-Defender 1.1.1505.0 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Besitzer\AppData\Roaming\Microsoft\Windows\Cookies\besitzer@atdmt[1].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location S�� 39
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description S�� 39
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

john.doe · 24.04.2009, 20:31

Ui, ein Cookie, na da müssen wir zum Glück kein Alarm geben.

Wenn CureIT auch nichts findet, dann hast du es geschafft.

ciao, andreas

FrozenSpirit · 24.04.2009, 21:06

CureIt hat keine Viren gefunden! Juchei danke für die Geduld Andreas!^^

:aplaus:

john.doe · 24.04.2009, 21:09

Wenn es dem Rechner wieder gut geht, dann bist du entlassen.

ciao, andreas

Mehrere Trojaner Meldungen!

Log-Analyse und Auswertung: Mehrere Trojaner Meldungen!