Hallo Leute,
ich hab mir wohl nen Trojaner eingefangen, seitdem geht mein Kaspersky nicht mehr und CDs brennen kann ich plötzlich auch nicht mehr! Die blockieren wohl beides?

Virensuche funktioniert auf dem PC, aber mein Antivirusprogramm aktiviert sich nicht mehr und ich bin ohne Schutz im Internet!! Hab da 2 Trojaner die sich nicht entfernen lassen gefunden:

trojan.win32.Monder.cqcs
trojan.win32.Agent.clxm

... ich hoffe ihr könnt mir bei meinem Problem helfen.
Wenn nicht heisst es wohl Format c:

Gruss

Hallo Plüscheule und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit RSIT. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

1.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hi Andreas,
danke für deine schnelle und ausführliche Antwort.
Aber es hat beides nicht geklappt mit RSIT und Combifix. Schade schade! Erschien bei beiden während der Installation oder beim starten ein rotes Error und dann kam ich nicht weiter. Hab echt keine Lust die Festplatte zu formatieren.. Bei RSIT hieß es: Error Variable used without being declared!

MfG

Hallo,

probier doch mal bitte die umbenannte Version von RSIT.

Da du bisher nicht ein einziges Log gepostest hast, musst du jetzt ein paar Fragen beantworten.

1.) Betriebssystem?

2.) Servicepack?

3.) 32 oder 64bit?

4.) Was genau passiert beim Versuch ComboFix zu starten? Öffnet sich ein Fenster? Erscheint eine Fehlermeldung? Wenn ja, welche?

ciao, andreas

..hatte bis vorgestern noch WindowsXP Service Pack3 und bin dann auf Windows7 aufgesprungen daß mir ein Freund gegeben hat.. der meinte ich soll es mal draufspielen. Doch der Trojaner war schon vorher auf meinem XP! Wenn ich das Combofix starte, erscheint --"NircmdB.exe" konnte nicht gefunden werden. Stellen sie sicher dass sie den Namen richtig eingegeben haben...--

Zitat:

Doch der Trojaner war schon vorher auf meinem XP!

Den wirst du auch nicht so einfach los. Lies nocheinmal mein erstes Post. Gleich der erste Satz.

Dann versuche es mit dem Link von cosinus. Gleich im Anschluss:

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

..ich bin am verzweifeln

1. der Link von Cosinus funktioniert auch nicht.
2. bei der Sysprot suche erscheint ".. nur mit Administrator Rechten.." und im Logtext steht er hat nix gefunden.

Welche Administrator privilegs? Es gibt nur mich auf dem PC!?!
Sorry aber bin kein Computerprofi...

Gruss
Plüscheule

Du musst alle Programme mit Mausklick rechts => Ausführen als Administrator starten.

ciao, andreas

Aaaaaargh! Jetzt kam ich mir aber blöd vor... Rechte Maustaste, das hab ch nicht gewusst

Das gewünschte Ergebniss sehen sie nun:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_dumpata.sys
Service Name: ---
Module Base: 8FDA3000
Module End: 8FDAE000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: 8FDAE000
Module End: 8FDB7000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Service Name: ---
Module Base: 8FDB7000
Module End: 8FDC8000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: C:\Dokumente und Einstellungen\Gruftbuttoneule\Eigene Dateien\Eigene Musik\Musik\Nick Cave and The Bad Seeds - B Sides and Rarities (Disc 1) FLAC (2005)\Nick Cave & the Bad Seeds-B-Sides & Rarities - Disc 1\Nick Cave & the Bad Seeds - B-Sides & Rarities -
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\Syscache.hve
Status: Access denied

Object: C:\System Volume Information\Syscache.hve.LOG1
Status: Access denied

Object: C:\System Volume Information\Syscache.hve.LOG2
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{7D4D4308-C884-4A89-921D-EB30C95855A8}
Status: Access denied

Object: C:\System Volume Information\{07d574ef-9d9f-11de-be2c-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{08bb38e7-9d9c-11de-9172-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3efc7b93-9d9a-11de-9c5c-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{b3b66e8e-9e05-11de-9032-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{fedc407b-9e13-11de-a120-001e8c86b11b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\namespace
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\pq
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\sm
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\temp
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl
Status: Access denied

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5YRKP2J\click,vT1eAKoWCQDwDSIAz6wJAAIAAAAAAP8AAAAECAIABAJi1Q0AcNUNAAAAAAAAAAAAAAAAAAAA[1].com%2Facb%3Fmember%3D27%26width%3D468%26height%3D60,;
Status: Hidden

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPI3S9UZ\click,FEwAAJujCQBOvCQAlfkKAAIAAAAAAP8AAAAECAIACgNeGA8AD2sNAM-mDwAAAAAAAAAAAAAAAAAAAAAAAAAAAO0.L0oAAAAA,,http%3A%2F%2Fmy.globalinteracti
Status: Hidden

Object: C:\Windows.old\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPI3S9UZ\click,ZmdaAPkxBwDktiQAHP0KAAIAAAAAAP8AAAAECAIAAgNXtwoACBICAN6rDwAAAAAAAAAAAAAAAAAAAAAAAAAAAA5AL0oAAAAA,,http%3A%2F%2Fipodto[1].com%2F,;
Status: Hidden

Ich habe noch einmal etwas genauer gelesen, dabei ist mir das aufgefallen:

Zitat:

bin dann auf Windows7 aufgesprungen daß mir ein Freund gegeben hat.. der meinte ich soll es mal draufspielen.

Klicke auf den dritten Link in meiner Signatur. Dort findest du:

Zitat:

Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.

Bedeutet das, dass es sich gar nicht um dein Eigentum sondern um ein illegal beschafftes Windows handelt?

ciao, andreas

..keine Ahnung wo er es her hat ??? Vielleicht hätte ich doch das XP behalten sollen. War wohl ne blöde Idee..

Zitat:

War wohl ne blöde Idee..

Gut, bevor du dich an die Neuinstallation machst, lässt du trotzdem ComboFix laufen. Das sorgt dafür, dass du dich über externe Datenträger nicht sofort wieder infizierst. Auch hier mit Mausklick rechts => Ausführen als Administrator starten.

ciao, andreas