Hi ich habe seit heute ein Trojaner-Downloader auf meine Laptop. Und zwar Win32/Renos.JM Hier die HijackThis und CCleaner anhänge.

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
McAfee Security Scan - nicht nötig (anscheinend jetzt auch nicht geholfen...), kannst deinstallieren

2.
Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
- Lade dir RSIT - 4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

So hier als erstes das Ergebnis von Gmer.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-15 12:32:47
Windows 6.0.6001 Service Pack 1
Running: 9r7xi8ee.exe; Driver: C:\Users\JRGPET~1\AppData\Local\Temp\kxrcifog.sys


---- System - GMER 1.0.15 ----

SSDT            9E39E664                                                                                                                     ZwCreateThread
SSDT            9E39E650                                                                                                                     ZwOpenProcess
SSDT            9E39E655                                                                                                                     ZwOpenThread
SSDT            9E39E65F                                                                                                                     ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetTimerEx + 454                                                                                              81EFDA18 4 Bytes  [64, E6, 39, 9E]
.text           ntkrnlpa.exe!KeSetTimerEx + 624                                                                                              81EFDBE8 4 Bytes  [50, E6, 39, 9E] {PUSH EAX; OUT 0x39, AL; SAHF }
.text           ntkrnlpa.exe!KeSetTimerEx + 640                                                                                              81EFDC04 4 Bytes  [55, E6, 39, 9E] {PUSH EBP; OUT 0x39, AL; SAHF }
.text           ntkrnlpa.exe!KeSetTimerEx + 854                                                                                              81EFDE18 4 Bytes  [5F, E6, 39, 9E] {POP EDI; OUT 0x39, AL; SAHF }

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\ole32.dll [USER32.dll!CreateWindowExW]                                        [00419B06] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\ole32.dll [USER32.dll!DialogBoxParamW]                                        [00419C98] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\ole32.dll [USER32.dll!MessageBoxW]                                            [00419CA4] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\ole32.dll [USER32.dll!ShowWindow]                                             [00419B7E] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\wininet.dll [USER32.dll!CreateWindowExW]                                      [00419B06] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\wininet.dll [USER32.dll!MessageBoxW]                                          [00419CA4] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\wininet.dll [USER32.dll!SetWindowPos]                                         [00419C2C] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\wininet.dll [USER32.dll!DialogBoxParamW]                                      [00419C98] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA]                                      [00419A8E] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW]                                      [00419B06] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA]                                      [00419C98] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW]                                      [00419C98] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!MessageBoxW]                                          [00419CA4] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!MessageBoxW]                                          [00419CA4] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!CreateWindowExW]                                      [00419B06] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!SetWindowPos]                                         [00419C2C] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!DialogBoxParamW]                                      [00419C98] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!ShowWindow]                                           [00419B7E] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\shell32.dll [USER32.dll!MessageBoxIndirectW]                                  [00419C92] C:\Windows\msa.exe
IAT             C:\Windows\msa.exe[2204] @ C:\Windows\system32\CRYPT32.dll [USER32.dll!MessageBoxW]                                          [00419CA4] C:\Windows\msa.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                      Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                      Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                     fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JD5SSJHN\httpErrorPagesScripts[2]  0 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JD5SSJHN\background_gradient[1]    0 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KEW59VLC\bullet[1]                 0 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KEW59VLC\errorPageStrings[1]       0 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KEW59VLC\ErrorPageTemplate[2]      0 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QM426Z4J\bullet[1]                 3169 bytes
File            C:\Users\Jörg Peters\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QM426Z4J\info_48[2]                6993 bytes

---- EOF - GMER 1.0.15 ----
         

und als Anhang die log und info text dateien.

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste erneut beide Logfiles.

so hier die nächsten ergebnisse. alle als anhänge.

hi

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - Startup: verf.exe
         

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`

Code: Alles auswählenAufklappen

ATTFilter

Java(TM) 6 Update 12
         

6.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

7.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

als erstes das von antispyware danach kommt ein scan von antivir und als letztes von hijackthis.

hi

Code: Alles auswählenAufklappen

ATTFilter

Scan saved at 16:08:07, on 16.11.2009
         

ich meinte ein neu erstellte Logfile posten!

das komisch ich hab das am 20.11. gemacht. ich habs gerade nochmal versucht und da stand wieder 16.11. hab ich da was falsch gemacht?

**Vista User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

so habs jetzt als admin gemacht (obwohl ich der einzige nutzer bin und eigentlich admin rechte haben sollte). hier also das richtige.

was ist mit Punkt 6. - Kaspersky Onlinescanner?-> http://www.trojaner-board.de/79408-win32-renos-jm.html#post480895

anstatt ein scan mit kaspersky hab ich einen scan mit antivir gemacht ist auch angehängt.

Zitat:

Zitat von Kali90

anstatt ein scan mit kaspersky hab ich einen scan mit antivir gemacht ist auch angehängt.

das weiß ich ja..aber ich möchte eine zweite Meinung "lesen"

so hier der scan von kaspersky ich habs in ne txt datei gespeichert.