Hallo zusammen!
Gestern Abend hat mich meine Firewall (ZoneAlarm) auf die Programme msb.exe und c.exe aufmerksam gemacht, dass diese auf das Internet zugreifen wollen. Da ich gerade ein Programm runtergeladen habe und dachte, dies gehört zum Programm, ließ ich es zunächst zu. Die Meldung für msb.exe und c.exe kam dann aber häufiger, ich ließ sie nicht mehr zu und ich machte mich im Internet schlau, was das sein könnte. Trojaner! Blöd!
1. Ich spielte gleich ein paar empfohlene Programme wie PrevX und Spyware doctor auf und ließ sie laufen. Beide haben etwas gefunden, ich konnte mit der freeware version jedoch nur einen Teil löschen. 2. Mit HijackThis habe ich ebenfalls 15 Dateien entfernen können, nur eine habe ich nicht gefunden (msa.exe), diese war aber beim erneuten Scan mit HijackThis nicht mehr da. 3. AdAware und asquared fanden auch einige Infektionen, und haben bis auf einige wenige Files alles entfernen können. Diese übriggebliebenen habe ich dann manuell gelöscht. 4. Mit CCleaner gereinigt und die Registry nach Fehlern untersucht. Alle Fehler konnten behoben werden, bis auf zwei:
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} und
Registry Schlüssel: HKCR\ZAMailSafe\DefaultIcon (Ich denke, dass ist wohl von ZoneAlarm)
5. Dann nochmal HijackThis drüberlaufen gelassen, und keine weiterer Fund. Auch PrevX und AdAware hat nichts mehr gefunden. Nur Spyware Doctor hat noch 4 Objekte gefunden. Darunter einen Trojan.FakeAlert mit mittlerem Risiko. Löschen könnte ich ihn nur mit der Kaufversion?!
Ich bin nicht besonders gut in Software-Dingen und trau mich auch nicht daran, irgendwelche Prozesse zu beenden oder Dinge aus der Bibliothek oder Registry zu löschen, wie es in einigen Foren beschrieben ist. Momentan lass ich Malwarebytes laufen und das Programm hat bis jetzt schon 7 Infizierte Objekte gefunden!
Kann mir irgendjemand bitte helfen? Wie werde ich das den Trojaner wieder los?
Den Rechner Neuaufsetzen kann ich leider auch nicht, da ich das Betriebssystem nicht auf DVD/CD habe, es war vorinstalliert!

Vielen Dank im Voraus und Beste Grüße

Michael

Hallo und

Um das System nicht weiter zu verhunzen: Deinstalliere bitte alle nachträglich installierten Virenscanner (PrevX, Spyware Doctor uws.) sowie ZoneAlarm, schalte die Windows-Firewall ein!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ok, hab jetzt alle nachträglichen Programme und Zonealarm deinstalliert und die Windows-Firewall eingeschaltet. Soll ich die Programme, bei denen ich nachträglich ein Update gemacht habe auch deinstallieren? Malwarebytes läuft noch (schon seit 1,25h)! Mit welchen Programm zippe ich Dateien am betsen, hab hierfür ncoh keines!

danke und gruß

Nee, also Malwarebytes brauchen wir ja noch, damit sollst Du ja ein Log erstellen, das bitte lassen.
Zippen kannst Du wunderbar mit WinRAR (shareware) oder 7Zip (Freeware)

OK.
Malwarebytes läuft noch immer! kann sich nur noch um Stunden handeln!
Anschließend werde ich dann RSIT starten und alle Logfiles in einen Ordner packe, den zippen und hochladen. Hoffentlich klappt das alles!

So, MalwareBytes und RSIT sind durch.
Hier der Link für die ZIP.Datei: w*w.file-upload.net/download-2051590/Logfiles.7z.html

dank dir echt vielmals für deine Hilfe

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2005-08-04 343112]
{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Programme\Winamp Toolbar\winamptb.dll [2009-02-19 1262888]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-08-26 279944]
         

Du solltest auf die ganzen Toolbars verzichten - völlig unnötiger Ballast!

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\archlp.sys
         

Lad diese Datei mal bitte auf virustotal.com hoch und poste den Ergebnislink.

Ansonsten sehen die Logfiles ok aus. Gibts noch Meldungen oder Probleme? Wenn nicht, bitte unbedingt Updates prüfen!!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen vielen Dank!
Als ich die Datei hochgeladen hab, kam folgendes ergebnis: 0 bytes size received / Se ha recibido un archivo vacio
Weiß nicht wirklich,was das heissen soll!
Werd die anderen Sachen alle aktualisieren und hoffe, dass es das dann war!

beste Grüße

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\system32\drivers\archlp.sys

drivers to delete:
archlp
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo Cosinus,

musste heute morgen in die Uni, daher die späte Antwort. Wie deaktiviere ich denn den Hintergrundwächter von Antivir?
Stell mich echt ein bisschen an!

Gruß

Du hast ein Regenschirm bei der Windows-Uhr. Rechtsklick => Hintergrundwächter deaktivieren (sinngemäß) - wenn der Regenschirm geschlossen ist, ist es ok.

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\archlp.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\archlp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "archlp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zeit für Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Konnte aller Fehler beheben, ausser
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

soll ich combofix trotzdem starten?

Ja, cofi bitte starten