Hallo,

ich habe mir ebenfalls den Trojaner "Antimalware Doctor" eingefangen. Avira hat gleich Alarm geschlagen. Daraufhin habe ich mithilfe eurer Anleitung rkill gestartet und darauf "Malwarebytes Antimalware" durchgeführt.

Leider wird der fiese Doktor bei jedem Neustart aufs Neue gestartet }:-{

Jetzt wollte ich mal meine Hijack This Logs posten, jedoch sind diese aus irgendeinem Grund so groß, dass sie nichtmal komprimiert in den Anhang gehen und als Text im Post zu viele Zeichen hat.

Ich hoffe ich finde hier Hilfe.

So hab ich OTL bei mir eingestellt. (also nach Anleitung)
Aus irgendeinem Grund sind bei mir die OTL-Datei 376 kb groß.



Ich hatte versehentlich auf 30 Tage eingestellt, daher waren meine Logs zu groß.
Im Anhang könnt ihr jetzt meine Logs sehen.


Ich hoffe inständig, dass mir jemand helfen kann. Ich habe alles weitgehend entfernt, jedoch ist immer wieder beim Neustart dieser Docotor gestartet. Daraufhin habe ich im Autostart-Menü die setupupdater0000.exe deaktiviert.
Aber es muss noch irgendwas vorhanden sein.

Hallo und :Hallo:

Poste bitte auch das Malwarebytes Logfile.

Hallo,

danke für die schnelle Hilfe.
Ich habe Malwarebytes insgesamt dreimal durchgeführt.

Erste vom 09.06.10 (als noch nichts gelöscht wurde)

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4183

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09.06.2010 16:03:07
mbam-log-2010-06-09 (16-03-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133372
Laufzeit: 10 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Broken Mephisto\AppData\Local\Temp\ABA5.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\AppData\Local\Temp\b0d3efef.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\AppData\Local\Temp\vsfp.exe (Rogue.AVSecuritySuite) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Broken Mephisto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

Zweite vom 09.06.10

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4183

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09.06.2010 16:55:50
mbam-log-2010-06-09 (16-55-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 296418
Laufzeit: 47 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Dritte von eben

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4183

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

10.06.2010 23:01:23
mbam-log-2010-06-10 (23-01-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 296596
Laufzeit: 43 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Ich hatte also schon wieder zwei infizierte Dateien arghh.
Obwohl ich diesen doctor sogar im autostart-menü deaktivierte.
Nach der ersten Malwarebytes untersuchung habe ich außerdem folgende Reg-Dateien entfernt:

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc\Antimalware Doctor
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Antimalware Doctor.exe”

Und die Datei im Auostart-Menü.

Das OTL-Log sieht unauffällig aus.
Mächtiger Tools könenn wir nicht einsetzen, da sie inkompatibel mit einem 64-Bit-Windows sind.
Mach am besten bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

ich habe nochmal die zwei Programme ausgführt. Scheinbar war ein weiterer Trojaner vorhanden

Die Cookies und dieser wurden beseitigt. Das Malwarebytes hat nichts weiter gefunden.
Allerdings ist ja immer noch diese Datei im Autostartmenü, welche, wenn ich diese wieder aktiviere den Doctor von Neuem startet.


Malwarebytes Logs

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4192

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

13.06.2010 16:53:11
mbam-log-2010-06-13 (16-53-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 277451
Laufzeit: 43 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Superantispyware Logs(wurde nach dem Malwarebytes durchgeführt)

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/13/2010 at 06:43 PM

Application Version : 4.39.1002

Core Rules Database Version : 5062
Trace Rules Database Version: 2874

Scan type       : Complete Scan
Total Scan Time : 01:35:05

Memory items scanned      : 501
Memory threats detected   : 0
Registry items scanned    : 14690
Registry threats detected : 0
File items scanned        : 160575
File threats detected     : 12

Adware.Flash Tracking Cookie
	C:\Users\Broken Mephisto\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\5CXREY38\BROADCAST.PIXIMEDIA.FR
	C:\Users\Broken Mephisto\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\5CXREY38\IA.MEDIA-IMDB.COM
	C:\Users\Broken Mephisto\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\5CXREY38\MEDIA.FLESHLIGHT.COM
	C:\Users\Broken Mephisto\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\5CXREY38\SECURE-US.IMRWORLDWIDE.COM

Adware.Tracking Cookie
	broadcast.piximedia.fr [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	cdn5.specificclick.net [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	ia.media-imdb.com [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	media.fleshlight.com [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	media.mtvnservices.com [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	s0.2mdn.net [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]
	secure-us.imrworldwide.com [ C:\Users\Broken Mephisto\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5CXREY38 ]

Trojan.Vundo-Variant/F
	C:\WINDOWS\ASSEMBLY\NATIVEIMAGES1_V1.1.4322\SYSTEM.DRAWING.DESIGN\1.0.5000.0__B03F5F7F11D50A3A_603319AA\SYSTEM.DRAWING.DESIGN.DLL
         

Zitat:

Allerdings ist ja immer noch diese Datei im Autostartmenü, welche, wenn ich diese wieder aktiviere den Doctor von Neuem startet.

Das bitte konkreter formulieren.
Wenn was im Autostart ist, startet es automatisch. Welchen Autostarteintrag meinst du da genau?

Ich nahm an es wäre die Datei setupupdater0000.exe, doch als ich diese eben wieder aktivierte, wurde der Doctor beim Neustart nicht mehr geöffnet. Scheint ja jetzt wieder alles in Ordnung zu sein aufm ersten Blick

Oder gibts noch was was ich tun sollte?

Kann ich die ganzen Programme, die ich zur Trojanerbeseitigung und erkennung installiert habe, wieder deinstallieren? Werden dann alle Dateien spurlos gelöscht? Bei manchen Antivirenprogrammen braucht man ja wieder ein extra Programm zur vollständigen Deinstallation.

Ich wollte mich jetzt auf das nötigste beschränken(avira, spybot). Bei den tausend Programmen, kann der Pc ja doch mal stocken.

Wenn es das war, möchte ich mich recht herzlich bei cosinus bedanken für die schnelle Hilfe.
Einen schönen Abend!

Zitat:

Kann ich die ganzen Programme, die ich zur Trojanerbeseitigung und erkennung installiert habe, wieder deinstallieren? Werden dann alle Dateien spurlos gelöscht?

An für sich können die weg, aber die beeinträchtigen das System nicht. Malwarebytes und SUPERAntiSpyware lassen sich idR problemlos deinstallieren, so aus dem Stehgreif kann ich aber nicht vorhersagen, was an Programmresten überbleiben könnte und selbst wenn ob diese das System beeinträchtigen (aber wohl eher nicht!).

Von Spybot kannst Du Dich getrost verabschieden, das Tool hat seine beste Zeit lange hinter sich. Malwarebytes und SUPERAntiSpyware sind um Längen besser! Du musst aber vor jedem manuellen Scan mit einem dieser Programme auch manuell ein Update durchführen!!