trojaner nicht löschbar (AVG u. Malwarebytes) (Trojan.Dropper / Trojan.SpamBot)

mkr

Hallo, liebe Liste,

ich versuche gerade, einen (m.E.) Trojaner loszuwerden.

Klappt aber nicht so richtig.

Erkannt wurde er mit AVG (ist das einzige Antivirenprogramm auf dem Rechner).

AVG-Scan --> gifrg.exe mit Trojaner: Pakes.FFA
221[1].exe mit Trojaner: Crypt.VDK
yv8g67.exe mit Trojaner: Crypt.VTL

Auch nach Update auf Version 9.0.819 und auch mit AVG Rescue CD (Version 29.4.2010) (von usb-Stick ausgeführt) nicht zu entfernen.

Auffällig:

in den temp. IE-Dateien wurde folgendes gefunden (obwohl der IE nicht genutzt wurde und vorher alle temp. IE-Dateien gelöscht wurden:

221.exe --> hxxp://91.212.135.124/221.exe
lele.exe --> hxxp://188.165.155.82/limp/lele.exe

Dann bin ich auf Euer tolles Board gestoßen, ich hoffe, ich hab nach Eurer Anleitung gehandelt.

mit CCleaner 2.31.1153

Cleaner --> temp. und andere Dateien gelöscht
Registry --> Registry bereinigt

mit Malwarebytes Anti-Malware 1.46

5 Dateien gefunden --> entfernt --> reboot notwendig

nach reboot sind immer wieder 2 (oder auch 6) Dateien infiziert --> siehe Ende des Posts

mit RSIT die 2 gewünschten Dateien erstellt, editiert und hier als Anhang eingefügt.

Bitte helft, ich kriege den (die) Plagegeister ohne Eure Hilfe nicht los.
Falls ich noch etwas ranschaffen soll, nur zu.

PS: Die infizierten Dateien heißen immer mal wieder anders.


04709.exe (Trojan.Dropper)
160.exe (Trojan.SpamBot)
7510640.exe (Trojan.SpamBot)
296878.exe (Trojan.Dropper)
7087.exe (Trojan.Dropper)
42979.exe (Trojan.Dropper)
524.exe (Trojan.SpamBot)

----
1. Durchlauf:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4113

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18.05.2010 20:11:24
mbam-log-2010-05-18 (20-11-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120369
Laufzeit: 10 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\***\Anwendungsdaten\lwtwfl.exe,C:\RECYCLER\S-1-5-21-1373317251-6335259254-020780911-3615\yv8g67.exe,C:\Dokumente und Einstellungen\***\csrss.exe,explorer.exe,C:\Dokumente und Einstellungen\***\Anwendungsdaten\gifrg.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\106021.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\333.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.




2. Durchlauf:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4113

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18.05.2010 21:30:15
mbam-log-2010-05-18 (21-30-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 26961
Laufzeit: 20 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\7087.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\42979.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\524.exe (Trojan.SpamBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O30XT96O\412[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q86QGVUR\506a100510[1].exe (Trojan.SpamBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q86QGVUR\setup95[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.