Liebe Commnunity,
ich bin verzweifelt, aber sowas von verzweifelt. Bin keiner der sich mit solchen Problemen auskennt und deswegen hoffe ich sehr, hier Hilfe zu bekommen!

Seit gestern Abend spinnt mein Laptop. Ohne irgendeine Datei aus dem Netz heruntergeladen zu haben, macht er totale Faxen! Unter anderem:

1.) Google liefert völlig falsche Suchergebnisse.Klicke ich auf ein Suchergebnis aus der Liste, geht eine völlig andere Seite auf!
2.) Die Schrift in der Google Liste ist auch eine ganze andere als die "normale" Ich glaube das ist Tahoma!
3.) Wenn ich Avira drüberlaufen lassen möchte, stürzt er ab und es erscheint ein blauer Bildschirm mit irgendner Mitteilung das der PC aus sicherheitsgründen runtergefahren wird!
4.) Habe den Pc im abgesicherten Modus gestartet und Avira drüberlaufen lassen.Er hat zwar 3 Viren gefunden, diese konnte ich aber ohne Weiteres in Quarantäne bzw. auch komplett löschen!
5.) S&D startet einfach nicht mehr! Es erscheint zwar die Sanduhr aber es geht dann nicht mehr weiter!

Das sind so die Sachen die mir bisher aufgefallen sind!
HiJack Logfile habe ich auch gemacht:
Ich hoffe wirklich Ihr könnt helfen!

Vielen Dank...Emilio


EDIT: Mir fällt grad ein, dass irgendwas mit AV Care auf meinem Bildschirm gesehen hatte....und ab diesem Zeitpunkt war mein PC nicht mehr das was es mal war...

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\FRANCO~1\LOKALE~1\Temp\5.tmp.exe
         

Danach bitte diese Liste abarbeiten.

Hallo Cosinus,
danke für die Hilfe!
Ich weiss zwar nicht ob ich das alles so richtig gemacht hab, aber hier ist das Ergebnis von VirusTotal:

Datei 5.tmp.exe empfangen 2009.08.21 11:16:28 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 20/41 (48.79%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit ist zwischen 80 und 114 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.21 TR/Fakealert.mpd.5
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 Win32:MalOb-G
AVG 8.5.0.406 2009.08.21 Downloader.Generic8.BJDN
BitDefender 7.2 2009.08.21 Gen:Packed.jqW@dqCMVvp
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2044 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 Trojan.DownLoad.44784
eSafe 7.0.17.0 2009.08.20 Suspicious File
eTrust-Vet 31.6.6693 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 Trojan-Downloader:W32/Renos.gen!C
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 Gen:Packed.jqW@dqCMVvp
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 Trojan/FraudPack.cmv
K7AntiVirus 7.10.823 2009.08.20 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 Artemis!213F2DF5F02C
McAfee-GW-Edition 6.8.5 2009.08.21 Heuristic.LooksLike.Win32.NewMalware.H
Microsoft 1.4903 2009.08.21 TrojanDownloader:Win32/Renos.JI
NOD32 4354 2009.08.21 Win32/TrojanDownloader.FakeAlert.AHC
Norman 6.01.09 2009.08.20 W32/Renos.VIF
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.20 Trj/Downloader.WEM
PCTools 4.4.2.0 2009.08.20 -
Prevx 3.0 2009.08.21 Medium Risk Malware
Rising 21.43.43.00 2009.08.21 Trojan.Win32.Nodef.lal
Sophos 4.44.0 2009.08.21 Mal/EncPk-JD
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 Trojan/Downloader.gen
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1895 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.20 Trojan.FakeAlert.Gen!Pac.10
weitere Informationen
File size: 151040 bytes
MD5...: 213f2df5f02c68f9966ff9430f606cfc
SHA1..: 5c5fc2838e0449e97f1752bd00260159ba1fe7ec
SHA256: 66726464a7d065f7f3fdc5ce3b8528b45ba246e8723dffad9a6205ac7d3228f7
ssdeep: 3072:TbIv8sRBWhmgVLaGFA/oGPO3JCITOy9lmSs60vGcH/58:u8sRBWhm9oGG3Y
ICy9lbs601Hu

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13d3
timedatestamp.....: 0x47db6af2 (Sat Mar 15 06:21:38 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5bd0 0x5c00 5.14 7f4be7a3f73f14317bc961380465d41a
.rdata 0x7000 0x1a732 0x1a800 7.31 14c6b7ad8b88f95bb28637ed87bffbbb
.eadta 0x22000 0x1e650 0x1e00 0.27 01ca304af3227f26272c1c54ce2c0025
.idaaa 0x41000 0x1b48 0x1c00 0.08 e8ecd7db4f8aa10619209c8d6b248a9c

( 5 imports )
> USER32.DLL: DrawIcon, GetWindowTextA, EndDialog, IsWindow, GetFocus, DialogBoxParamA, CopyRect, CopyImage, InsertMenuA, DrawIconEx, LoadCursorA, GetDC, GetCursor, CreateIcon, GetDlgItem, GetMenu, AppendMenuW, DrawTextW, CloseWindow
> USER32.DLL: LoadMenuA, LoadCursorA, DrawTextA, GetCursor, GetDC, DrawIconEx, DialogBoxParamW, AppendMenuA, GetWindowTextLengthA, AlignRects, DialogBoxParamA, CopyRect, DrawTextW, BlockInput, CalcMenuBar, GetDlgItem, GetWindowTextA, InsertMenuA, DrawIcon, AppendMenuW
> KERNEL32.DLL: GetOEMCP, lstrcatA, GetOEMCP, HeapFree, GetOEMCP, GetStringTypeW, GetOEMCP, GetCommandLineW, GetOEMCP, GetFileType, GetOEMCP, GetLogicalDrives, GetOEMCP, GetLastError, GetOEMCP, DeleteFileA, GetOEMCP, HeapAlloc
> KERNEL32.DLL: FreeLibrary, DeleteFileA, ExitProcess, GetLastError, GetOEMCP, GetLastError, GetStringTypeW, HeapFree, lstrcpyA, lstrcatA, WideCharToMultiByte, GetStringTypeA, lstrcpynA, lstrcmpA, GlobalFree, lstrcmpiA
> KERNEL32.DLL: GetModuleFileNameA, GetCommandLineA, GetLastError, GetLocalTime, GetCommandLineW, FreeLibrary, GetStringTypeA, GlobalFree, lstrcmpiA, GetLogicalDrives, GetLastError, GetFileAttributesA, Sleep, GetStringTypeW, GetModuleHandleA, HeapAlloc, lstrcmpA, DeleteFileA, GetCPInfo

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=213f2df5f02c68f9966ff9430f606cfc' target='_blank'>http://www.threatexpert.com/report.aspx?md5=213f2df5f02c68f9966ff9430f606cfc</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D91158DF0058B76C4ED20248F808A1007C7428C0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D91158DF0058B76C4ED20248F808A1007C7428C0</a>

Doch, Du hast alles richtig gemacht. Die Datei ist Malware und Du hast alles was wichtig war auch hierrein kopiert!

mach bitte nun mit der Liste weiter.

Zu früh gefreut! Klappt nicht, MalWareBytes zu starten! Weiss echt nicht mehr weiter!



EDIT: Kommando zurück. Klappt!
Ich mache mal weiter!



Hi Arne,

leider lässt sich MalWare nicht installieren...
Downloaden ja, aber beim installieren klappts nicht. Doppelklick, sanduhr erscheint, das wars dann aber auch.....
Ältere version runtergeladen, aber auch keine Abhilfe >>> das gleiche Problem.

Hast du ne andere Idee?

Danke
Emilio

Was genau geht denn nicht?

Also wenn ich das jetzt richtig verstanden habe, du klickst drauf, dann erscheint sie Sanduhr und dann? Was ist dann?

Unbenannt

Nichts! Es tut sich einfach nichts! Als hätte ich dieses gottverdammte Symbol nicht angeklickt! Sorry für den Ausdruck, aber diese Kiste ist kurz davor vom Fenster zu fliegen!

Probier mal diesen Link, und poste was passiert wenn du ihn anklickst
Link:http://filepony.de/dl-bWJhbS1zZXR1cC...91089-8687006/

Nix passiert!
Er ladet das Programm runter. Dann die üblichen Fragen, Lizenzvereinbarung akzeptieren, startsymbol erstellen, etc. und wenn ich das Programm starten möchten erscheint für ca. 3 sec. die Sanduhr.und dann wieder der ganz normale Mauszeiger..Hab keine Firewall oder sowas offen....
Ich glaub ich hab mir den krassesten Virus auf Erden eingefangen.
Der Notebook gehört in den Müll!

Ruhig bleiben, nicht so hastig bitte! Das Notebook muss auch nicht weggeschmissen werden, die Hardware ist doch in Ordnung! Man kauft sich ja auch nicht ein neues Auto wenn der Aschenbecher voll ist!

Wenn Malwarebytes nicht gestartet werden kann, wird aktive Malware daran schuld sein. Ich würde vorschlagen Du machst einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

[/QUOTE]

Hallo Arne,
ich will mich ja nicht zu früh freuen...
aber google liefert keine falschen suchergebnisse mehr, und auch die Schrift ist wieder die alte "google schriftart" nach dem ich Combofix drüberlaufen lassen habe!Der hat am Anfang einige Faxen gemacht, das ich ne alte Version habe, dann ist er mehrmals hoch und runter gefahren, beim hochfahren piepte dann alle 5 sek der Avira (obwohl ich ihn ausgeschaltet hatte).Doch dann schien alles sein Lauf zu nehmen. Hoffe ihn besiegt zu haben?!?
Hier das LOG:

---
EDIT:
Kleiner Fehler meinerseits. Sorry

Zitat:

Zitat von Maxwell79

Hoffe ihn besiegt zu haben?!?
Hier das LOG:

Bei Dir werkelte ein Rootkit:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\UACefqexakvig.dat
c:\windows\system32\uacinit.dll
c:\windows\system32\UACiomtbosvxd.db
c:\windows\system32\UAClxpmjamixy.dll
c:\windows\system32\UACwnomujnxrg.dll
c:\windows\system32\UACxmeppfniwk.dll
c:\windows\system32\UACydrujbapqq.dll
         

Hat Combofix gelöscht! Jetzt dürfte auch MalwaryBytes starten

Mach mal bitte so weiter, probier nach dem Avenger Malwarebytes wieder aus.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

drivers to delete:
PCD62X1
PCD62X2
PCD62X3
PCD62X4
PCD62X5
PCD62X6
PCD62X7
PCD62X8
PCD62X9
PCD62X10
PCD62X11
PCD62X12
PCD62X13

files to delete:
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X1.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X2.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X3.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X4.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X5.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X6.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X7.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X8.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X9.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X10.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X11.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X12.sys
c:\dokume~1\FRANCO~1\LOKALE~1\Temp\PCD62X13.sys
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Bin jetzt schon sowas von dankbar.....Geilomat!!!

Hier das Log vom Avenger:

Sehr gut! Führe jetzt noch bitte diese Tools aus:

1. CCleaner
2. MalwareBytes
3. RSIT (neue Logfiles zur Überprüfung erstellen)

Also so wie das in der dieser Liste (mittig) beschrieben ist.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.