Hey...

Seit heute morgen plagt mich dieser elendige Trojaner. Er hat sich gleich beim Start von Win XP (SP2) bemerkbar gemacht und erstmal mich komplett rausgeschmissen. AntiVir hat ihn mir gemeldet und ich wollte ihn zuerst in Quarantäne schieben, dann ging auch schon der Rechner aus... Irgendwie wollt er dann auch nicht mehr so recht ins Windows bis nach ewigem hin und her er dann doch endlich mal wieder mir den Desktop angezeigt hat.

Ich hab dann gleich mal das ganze System mit AntiVir scannen lassen und er hat auch nur diesen Trojaner entdeckt.
(Der Trojaner ist ständig eine andere kryptische .sys Datei in dem oben erwähnten Temp ordner)
Daraufhin hab ich mich hier im Forum umgesehen und CCleaner installiert. Der normale Cleaner Modus ist bereits durchlaufen, im Moment durchsucht er meine Registry, steht aber seit mehr als einer halben Stunde bei 4% (hat aber bisher 4 Fehlende gemeinsamgenutzte DLLs gefunden).

Ist das normal? Es geht einfach nichts vorwärts...

Soll ich weiterhin die 3 Schritte für Hilfesuchende abrackern, es dann hier posten, oder ist mein Problem vllt. doch etwas anderes?!

Danke schonmal...

Edit: kleines Update: Also CCleaner hat jetzt nach ner Stunde doch die 4% Hürde genommen und läuft jetzt sogar einigermaßen flott weiter...

Edit die 2.: Also, CCleaner funktioniert ganz normal, dauert zwar ewig aber das erste mal ist er jetzt - gottseidank - durch.

Ich werde dann die nächste Schritte noch abarbeiten und euch die log Datei posten.

Hallo und

Zitat:

Er hat sich gleich beim Start von Win XP (SP2) bemerkbar gemacht

Wieso nur SP2?
Denk dran, wir brauchen die RSIT und Malwarebytes Logfiles.

Zitat:

Zitat von cosinus

Wieso nur SP2?

Tja... gute Frage, irgendwie ist da wohl was an mir vorbei gegangen


Die Log-Files kommen, sobald das endlich mal fertig wird... geht ziemlich schleppend vorran.

Ich hätte noch ne andere Frage, da ich mich mit diesen ganze bösen Programmen net so auskenn:

Angenommen ich würde mein Windows plätten und ein neues Installieren, kann ich meine zweite Partition mit allen Daten beibehalten, oder versteckt sich dann das kleine Ekel dort und sucht mich später wieder heim?
(Ich hab nämlich auf der zweiten Partition ziemlich viel selbstgemachte Musik, Fotos etc., die ich ungern verlieren würde...)

Du kannst natürlich auch formatieren. Hast Du auf der 2. Partitionen nur persönliche Daten oder auch Programme, Spiele und Setups o.ä.?

Ne, eigentlich sind nur n paar Installationsdatein, DOS Spiele (: und Bilder, Videos, eigene Musik... Und genau das ist nicht vollständig gesichert (kommt ja ständig was dazu usw.). Desswegen wärs äußerst schlecht, wenn das abhanden kommen würde, bzw. ich halt eben diese Partition dann auch formatieren müsste.

Ich werd auf jedenfall erstmal Malwarebytes und den Rest noch durchlaufen lassen und hoffen, dass ich es so fixen kann. Ansonsten hätte ich sowieso keine Alternative.

Es reicht wenn Du die Systempartition formatierst. Wenn das System wieder neu ist, solltest Du unbedingt aufpassen, was Du von der 2. Partition ausführst, sonst hast Du mit etwas Pech ruckzuck wieder ne Infektion drauf.

So, im Anhang jetzt mal das Log vom Malwarebyte...

Irgendwas konnte er nicht entfernen und verlangt neuzustarten. Ich hoffe danach geht das teil noch...

Bitte einen Vollscan mit dem Tool machen...

Hmmm, das Notebook bleibt jetzt beim Willkommen Bildschirm stehen...

Ich trau mich grad net wirklich es einfach nochmal auszuschalten und wieder anzuschalten, net dass der da grad noch irgendwas rumhandwerkt?!

Edit: Auch nach nochmaligem Aus und An bleibt er nach der schönen Welcome-Musik einfach bei Willkommen stehen und es geht nix weiter... *sigh*

Edit mal wieder die 2te: Mit Windoof CD drin hat ers jetzt dann mal geschafft...aber scheinbar fehlt irgendwas :-/. Jetzt erkennt AntiVir plötzlich BDS/Rustock.155648.B ... *verzweifel* Ich ignorier das jetzt einfach und lass malwarebyte nochmal laufen ...

Aua, mit dem Rustock ist nicht zu spaßen, ist ein gefährlicher Backdoor
Wo wurde der gefunden? Du musst immer die Fundorte mit posten...
Wenn Malwarebytes durch ist, bitte die RSIT Logs endlich posten.

Der war auch irgendwo in diesem Temp ordner. Den hat mir AntiVir beim Vollscan von Malwarebytes angezeigt...

Ich schau eben nach:

Also einmal unter:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZO4T3\sec[1].exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\989806.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\580.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\781.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0939477.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\7396818.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZo4T3\sec[1].exe
(den hat er am Anfang angezeigt, die anderen während Malwarebytes scannt)


Grad eben hat er mir den noch gebracht:

C:\System Volume Information\_restore{EF4FB3D4-87EC-4491-AF8F-89C329407E6E}\RP656\A0114581.exe



Das Malwarebytes-Teil braucht noch n bisschen, dann kann ich das andere Programm auch endlich laufen lassen... *urgs*

So, nach über 8 Std. Malewarebytes und zwischendurch mal pennen gehen hab ich jetzt endlich die Log files!


Rustock.B hat meldet sich jedoch immernoch, zumindest sagt das mein Avira. Ich verweig halt immer den Zugriff. Soll ich den vllt. versuchen löschen zu lassen, oder quarantäne?

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNRDBFVK\sec[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

--

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\478.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

--

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZO4T3\sec[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ja, der Rustock scheint sich zu bewahrheiten. Willst Du immer noch bereinigen mit ungewissem Ausgane oder lieber gleich eine Neuinstallation durchführen?

Naja, scheinbar macht es ja nicht sonderlich viel Sinn...

Mein Notebook spackt jetzt auch irgendwie mit AntiVir... es lädt zumindest nicht fertig.

Ich muss die C:\ Partition also komplett formatieren, einfach Windows CD rein und dann dem schönen blauen Menü folgen?

Die E:\ Partition kann ich, so wie's aussieht, lassen, oder? (Malewarebytes hat ja dort auch rein gar nichts gefunden und die Funde von Avira bezüglich dem Rustock waren alle auf C:\)

Ja, C: formatieren reicht.
Hast Du noch Daten auf C:? Sowas wie E-Mails, Lesezeichen oder so? Sachen auf dem Desktop? Wenn die wichtigen Sachen nicht auf die zweite Partition kopiert werden, gehen die natürlich beim format c: verloren.