Hallo Zusammen,
ich habe mich neu in diesem Forum angemeldet und hoffe, dass ihr mir helfen könnt. es scheint meine letzte rettung zu sein. ich bin schon kurz davor den computer zu formatieren, was ich ungern machen würde, da ich zur zeit nicht zu hause bin und den rechne benötige.

vorweg eine kurze beschreibung: Andauernd bekomme ich meldungen von security tool oder antivir solution pro. das geht sogar schon soweit, dass ich nicht mal mehr irgendeine datei oder sogar den task-manager öffnen kann. habe dann herausgefunden, dass ich nach einem neustart von xp sofort strg+alt+entf drücken muss, damit sich der taskmanager beim starten gleich als erstes öffnet. dann habe ich ein wenig gewalt über meinen rechner und kann mit task beenden die ganzen programme beenden und ich kann wieder alle dateien öffnen.

nun hatte ich gestern abend schon den thread über security tool durchgearbeitet, aber leider ohne erfolgt. es ist noch immer alles da.

ich wollte es jetzt noch einmal versuchen und habe Malwarebytes gerade neu installiert, ein update durchgeführt und es läuft gerade durch (ca. 40min)

rkill konnte ichnatürlich auch erst ausführen, nach dem ich mit dem taskmanager die programme beendet hatte

Zitat:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as NelsonValdez on 08.08.2010 at 9:19:52.


Processes terminated by Rkill or while it was running:


C:\DOKUME~1\NELSON~1\LOKALE~1\Temp\Tln.exe
C:\DOKUME~1\NELSON~1\LOKALE~1\Temp\19aqp.exe
C:\Dokumente und Einstellungen\NelsonValdez\Eigene Dateien\Downloads\iExplore.exe


Rkill completed on 08.08.2010 at 9:19:56.

könnte mir bitte jemand helfen, was ich dann als nächstes machen muss. ich wäre euch unendlich dankbar. sowas habe ich echt noch nie auf dem rechner gehabt.

viele grüße,
dirk

ps: mein system
Acer Aspire 5024WLMi: AMD Turion 64 Bit 1,6GHz, 1GB Ram, 80GB Festplatte, ATI Radeon X700 PCI Express

So, inzwischen habe ich es erneut versucht. Also Malwarebytes neu installiert, upgedatet, durchlaufen lassen (50 Befunde) und danach habe ich HostsXpert ausgeführt und danach dann ccleaner. Als ich das hatte, habe ich den neustart gemacht, den Malwarebytes mir empfohlen hatte. Jetzt scheint alles wieder normal zu sein.

Wie kann ich sicher gehen, dass nun alles entfernt wurde?

Zitat:

So, inzwischen habe ich es erneut versucht. Also Malwarebytes neu installiert, upgedatet, durchlaufen lassen (50 Befunde) und danach habe ich HostsXpert ausgeführt und danach dann ccleaner.

Log posten!!

Zitat:

Wie kann ich sicher gehen, dass nun alles entfernt wurde?

Eine Bereinigung ist war schon immer nur ein Kompromiss! Wenn Du wirklich sicher gehen willst, musst Du format c: und eine Neuinstallation durchführen oder ein sauberes Image wiederherstellen!

Log von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4406

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.08.2010 10:15:28
mbam-log-2010-08-08 (10-15-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 177478
Laufzeit: 38 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 32

Infizierte Speicherprozesse:
C:\WINDOWS\system32\szetyj67v.exe (Backdoor.Refpron) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\wz32cag.dll (Trojan.Hiloti.Gen) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\10DPP6O2VE (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\QNB2EB90WX (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\RZDVL2F27W (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\szetyj67v (Backdoor.Refpron) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssicedakokoxevok (Trojan.Hiloti.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qnb2eb90wx (Trojan.FraudPack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gogefrua (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gogefrua (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\91481480 (Rogue.Installer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\szetyj67vx (Trojan.LVBP) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\jgyo0w (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\szetyj67v.exe (Backdoor.Refpron) -> No action taken.
C:\WINDOWS\wz32cag.dll (Trojan.Hiloti.Gen) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tln.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Anwendungsdaten\efblishwv\rbuuschtssd.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Anwendungsdaten\91481480.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\system32\szetyj67vx.exe (Trojan.LVBP) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\stp4e00e.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\157.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\159.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\qgldko.exe (Trojan.Hiloti.Gen) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\pmqtt.exe (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\bxmjbpic.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\dmwjvlo6y.exe (Trojan.LVBP) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tlk.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tll.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tlm.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tlo.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tlr.exe (Trojan.Agent.Gen) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tls.exe (Trojan.Agent.Gen) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\ukdoi.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\umqkpf.exe (Trojan.Clicker) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\Tlj.exe (Trojan.FraudPack) -> No action taken.
C:\System Volume Information\_restore{7462A882-413A-4FEA-B3F6-705EF95ADF81}\RP2\A0001119.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{7462A882-413A-4FEA-B3F6-705EF95ADF81}\RP2\A0002394.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\Tdapia.exe (Trojan.FraudPack) -> No action taken.
C:\WINDOWS\Tdapib.exe (Trojan.Agent.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Lokale Einstellungen\Temp\19aqp.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.
C:\WINDOWS\system32\comsats.sys (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\NelsonValdez\file.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.

so und nun?

Hast Du alle Funde entfernt? Noch mehr Laufwerke außer C:\ ?

Zitat:

Zitat von cosinus

Hast Du alle Funde entfernt? Noch mehr Laufwerke außer C:\ ?

Ja, ich hatte alle Funde entfernt. Allerdings nicht die externe Platte in die andere geteilte Platte durchlaufen lassen.

Ich werde jetzt nochmal alles durchsuchen lassen. Was soll ich danach machen? Wieder den Log posten?


Vielen Dank schonmal

Ja, Log posten.

So, folgender Log. Auf der anderen Festplatte waren drei verdächtige Dateien, aber die sind gewollt

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4406

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.08.2010 13:42:50
mbam-log-2010-08-11 (13-42-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 215300
Laufzeit: 1 Stunde(n), 7 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\mplatver.dll (Spyware.Passwords) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mplatver.dll (Spyware.Passwords) -> Delete on reboot.
D:\Toolz\Cracks, Patches, Keys, usw\EA.Games.Multi.Keygen.exe (Trojan.Agent.CK) -> Not selected for removal.
D:\Toolz\Cracks, Patches, Keys, usw\*_*_*_Diagnostic_Tool\KeyGen.exe (Malware.Tool) -> Not selected for removal.
D:\Toolz\Cracks, Patches, Keys, usw\*_*_*_Diagnostic_Tool\wga-fix.exe (Hacktool.WGAFix) -> Not selected for removal.

Wie sieht es jetzt aus?

Zitat:

D:\Toolz\Cracks, Patches, Keys, usw\EA.Games.Multi.Keygen.exe (Trojan.Agent.CK) -> Not selected for removal.
D:\Toolz\Cracks, Patches, Keys, usw\*_*_*_Diagnostic_Tool\KeyGen.exe (Malware.Tool) -> Not selected for removal.
D:\Toolz\Cracks, Patches, Keys, usw\*_*_*_Diagnostic_Tool\wga-fix.exe (Hacktool.WGAFix) -> Not selected for removal.

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Die Sachen sind Jahre alt uns stammen von einer Lan. Installiert worden ist da nichts von. Dachte, dass ich die vll nochmal gebrauchen kann?

Zitat:

Die Sachen sind Jahre alt uns stammen von einer Lan. Installiert worden ist da nichts von. Dachte, dass ich die vll nochmal gebrauchen kann?

Gebrauchen für was? Um deinen Rechner mit illegaler Software auszustatten und aus ihm einen Zombie zu machen?
Im TB wird dieses Zeug jedenfalls nicht unterstützt und deshalb beschränkt sich der Support auf format c: plus Neuinstallation