unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp

Sunsheep · 04.11.2009, 21:21

Hi,

bin neu hier und weiß nicht ob ich hier richtig bin....

seit einigen Tagen schlägt mein Virenscanner (AVG ANti Virus Free) immer wieder Alarm. Angeblich hat sich ein Virus / Trojaner eingeschlichen - hab das teil auch schön entfernt

- doch generiert sich das Sch**** Teil immer wieder neu im Ordner:

[F:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp]

Mit den Typen:

unruy.c - Microsoft Security Es.. / Koobface.K - AVG

Die NAmen varrieren immer - ctv7526.exe bis ctv258.exe usw.

Nach kompletten Scanns mit Virenscanner und Spybot-SD hab ich ein paar Trojaner gefunden. (Namen vergessen) - und entfernt.

Doch jetzt nach einem Neustart ist alles Schlimmer da er sich jetzt im Ordner:

[F:Windows\Temp]

generiert.

Brauch dringend hilfe!!!!

Danke

cosinus · 05.11.2009, 11:36

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Sunsheep · 06.11.2009, 19:30

Also hier erstmal die log daten:

log datenMalwarebytes' Anti-Malware 1.41
Datenbank Version: 3106
Windows 5.1.2600 Service Pack 3

05.11.2009 21:40:36
mbam-log-2009-11-05 (21-40-36).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 775194
Laufzeit: 3 hour(s), 47 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
F:\WINDOWS\system32\kbdnet.dll (Spyware.Passwords) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Spyware.Passwords) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: f:\windows\system32\kbdnet.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: system32\kbdnet.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Dokumente und Einstellungen\Jay\Desktop\AE\adobe\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Jay\Vorlagen\kbdnet.dll (Spyware.Passwords) -> Delete on reboot.
F:\Dokumente und Einstellungen\Jay\Vorlagen\mscert.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
F:\RECYCLER\S-1-5-21-343818398-1343024091-682003330-1003\Df43.tmp (Backdoor.Bredavi) -> Quarantined and deleted successfully.
F:\WINDOWS\kbdnet.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\kbdnet.dll (Spyware.Passwords) -> Delete on reboot.
F:\WINDOWS\system32\mscert.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
F:\Programme\Adobe\acrotray.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Weiteres folgt noch.... sry hab spätschicht

Edit:

Hab auch heute herraugefunden das sich, wenn ich mit IE surfe, plötlich seiten in einem neuen Fenster aufbauen..
Hier ein Bsp.:

http://www.preissuchmaschine-online....bjektive;mid=3

cosinus · 06.11.2009, 19:39

Vergiss es, weitere Logfiles zu erstellen kannst Du Dir ersparen denn:

Infizierte Dateien:
F:\Dokumente und Einstellungen\Jay\Desktop\AE\adobe\adobe-master-cs4-keygen.exe

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Sunsheep · 06.11.2009, 20:02

Den Ordner gibt es bei mir gar nicht MEHR!!!

Hatte sowas mal vor nen dreiviertel Jahr mal drauf: (Lässt sich nicht verleugnen)

cosinus · 06.11.2009, 20:05

Jaja, den gibt es nicht mehr weil Malwarebytes den entsorgt hat!

Nun sei alles gesagt, ich bin hier raus

Sunsheep · 07.11.2009, 16:25

@ Cosinus

Malwarebytes entfernt die infizierte datei nicht den ordner!

Naja Trotzdem Danke, war ja anscheinend meine Eigene Schuld

werd jetzt mein System erstmal neu aufsetzen und die Finger von so´n sch*** lassen.

Bye

cosinus · 08.11.2009, 13:57

Dass der Ordner ein 3/4 Jahr schon weg war kann man nicht glauben. Wenn das so wäre, wieso sah Malwarebytes denn noch den Ordner samt Inhalt?

06.11.2009, 20:05	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp Jaja, den gibt es nicht mehr weil Malwarebytes den entsorgt hat! Nun sei alles gesagt, ich bin hier raus __________________ --> unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp

08.11.2009, 13:57	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp Dass der Ordner ein 3/4 Jahr schon weg war kann man nicht glauben. Wenn das so wäre, wieso sah Malwarebytes denn noch den Ordner samt Inhalt? __________________ Logfiles bitte immer in CODE-Tags posten

unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp

Plagegeister aller Art und deren Bekämpfung: unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp