Hallo Leute
mich hat der Trojaner von Antimalware Doctor überfallen.
ich bin auf eure Seite gestossen. Danke für die super Anleitung für die ersten Schritte.

Nach dem zweiten Durchlauf von malware hab ich folgendes Ergebnis:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4159

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01.06.2010 00:03:47
mbam-log-2010-06-01 (00-03-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122633
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


aber es ist leider noch nicht weg. Es öffnet sich immer wieder.
was kann ich jetzt tun????
Hatte zum Glück vorher noch nie probleme mit viren, trojaner o.ä.
Aber dieser "Doctor" scheint mir ein harter Brocken zu sein.

Wäre super wenn ihr mir weiter helfen könntet.

Vielen Dank schon mal.
Gruß Matze

Hallo und

Poste bitte alle Logs von Malwarebytes. Ein Log mit Null Funden danach ist schön und gut, aber manb muss schon wissen was vorher gefunden und entfernt wurde.

leider hab ich den ersten log von malbware nicht mehr.
Nun der dritte Lauf:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4159

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01.06.2010 18:45:15
mbam-log-2010-06-01 (18-45-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 277668
Laufzeit: 40 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

könnt ihr damit was anfangen?

lg matze

Mach ein Datenbankupdate auf 4161 und er wird gleichmal ein bisschen mehr finden.

Zitat:

leider hab ich den ersten log von malbware nicht mehr.

Wieso?? Du findest alle Logs im Programm unter Scan-Berichte...

ja habe ich gerade gesehen.
aber seis drum.
ich bin den "Doctor" alleine losgeworden, aber trotzdem danke.

Gruß
Matze

Hi Leude !
Also ich habe auch den Ärger mit dem Antimalware Doctor.
Habe nach mehreren Versuchen endlich den Doc gelöschgt bekommen und hoffe dass er sich nicht mehr meldet.Jetzt habe ich aber das Problem daß mein Internet-Explorer nicht mehr funzt.Er will keine Website aufrufen auch nicht Google, meldet stattdessen Verbidnungsfehler, der bekannte weiße Bildschirm wenn IE nicht online kommt.
Kann mir da jemand weiterhelfen ??
Mfg
ALMIR

hallo,

versuche prevx auf deinem computer laufen zu lassen und alle funde mit avira in quarantäne zu stellen (sowie an avira senden).
mach noch einen HJT und poste ihn dann hier.

Hier mal das Logfile von HJT :
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:53:55, on 05.06.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Prevx\prevx.exe
C:\Windows\System32\notepad.exe
G:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PXCIEaddin - {42DFA04F-0F16-418e-B80C-AB97A5AFAD39} - C:\Program Files\S.A.D\PDF-XChange 4\PXCIEAddin4.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\Windows\system32\PxSecure.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\S.A.D\PDF Viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: PDFXChange 4.0 - {42DFA04F-0F16-418e-B80C-AB97A5AFAD39} - C:\Program Files\S.A.D\PDF-XChange 4\PXCIEAddin4.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3325 bytes
         

--- --- ---
Habe auch schon mit Prevx gescannt und er findet mir 4 bad files.
habe immer noch das robelm daß ich nicht online komme, Verbindung zum Router ist da, aber online ne Seite aufrufen ist nicht.

P.S. Ich kann nicht einmal auf meinen Router zugreifen, eine Fritzbix 7170.
Unter Netzwerkverbindung-Eigenschaften steht drin bei IPv& keine Internet-Konnektivität, obwohl eine Verbindung zur Fritzbox besteht, ich dreh bal durch !
HAbe mir jetzt mal einen Laptop von nem Kumpel geliehen, dieser funzt absolut problemlos in meinem WLAN-Netz, aber mein PC stellt sich seit dem Trojaner quer ohne Ende.
Kann mir bitte jemand da dringend weiterhelfen ? Ansonsten muß das Win7 neu installieren.
DANKE
Mfg
ALMIR

die 4 Bad files von prevx mit zb Avira Antivir in Quarantäne stellen.
und die anleitung von hier befolgen:
http://www.trojaner-board.de/83172-a...entfernen.html

dein HJT Log ist noch nicht sauber.

Zitat:

Zitat von Wisdoom

die 4 Bad files von prevx mit zb Avira Antivir in Quarantäne stellen.
und die anleitung von hier befolgen:
http://www.trojaner-board.de/83172-a...entfernen.html

dein HJT Log ist noch nicht sauber.

Der Anleitung folge ich schon die ganze Zeit, habe ja alle dort genannten Progamme ausgeführt.
Habe jetzt mal versucht die Badfiles zu finden mit Avira, aber unter dem vom prevx genannten Pfad sind diese Dateien/Ordner nicht zu finden, unter c: users/appdata/... den appdata ordner habe ich gar nicht.
Mfg
ALMIR

Starte mal HJT --> markiere folgenden EIntrag

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

Schließe alle laufenden Programme --> Klicke auf fix checked --> rechner neu starten.

Berichte ob Du wieder ins Internet kannst.

Zitat:

Zitat von Larusso

Starte mal HJT --> markiere folgenden EIntrag

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

Schließe alle laufenden Programme --> Klicke auf fix checked --> rechner neu starten.

Berichte ob Du wieder ins Internet kannst.

Hallelujah ! Mein Internet gehjt wieder ! DANKE Larusso !
Ich scanne gerade nochmal mit Prevx den PC und er hat schon wieder bzw. noch immer etwas gefunden, zwei Dateien die nennen sich avm.exe und jdownloader.exe habe die jetzt in die Quarantäne verschoben.
Kann es sein daß dieser Trojaner immer hin udn herwandert ind andere Verzeichnisse und Ordner und sich dann in andere Anwendungen einnistet ??
Daß Jdownloader kein Trojaner ist ist uns ja wohl allen klar.
Mfg
ALMIR

Brich PrevX mal ab.

Bitte die Logfiles nicht in CodeTags posten, danke

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread