Hallo

ich bin neu hier und bin froh, dass ich mein Problem bei Euch vorstellen darf.


Ich habe einen Trojaner(?) der mich ausspionieren will. Wenn ich onlinbanking machen will, öffnet sich nach dem Einloggen eine angebliche Bankseite und es werden 20 TAN-Nummern zwecks zusätzlicher Autorisierung angefordert.

-Avira AntiVir - Personal Edition wurde (und wird täglich!) "geupdated" und fand nichts!

Bin euern Anweisungen gefolgt und hab die Programme ausgeführt:

-erunt
-defogger
-Malwarebytes-Anti-Malware
-OTL

Gmer konnte ich nicht ausführen, Programm stürzte 2 Mal ab

-------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4542

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

04.09.2010 18:30:34
mbam-log-2010-09-04 (18-30-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138675
Laufzeit: 6 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.

------------------------------------------------------------------

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 04/09/2010 (Ulla)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

------------------------------------------------------------


Wäre schön wenn ich das Problem mit eurer Hilfe beseitigen könnte.

Vielen Dank im voraus.

Hast Du mehrere Logs von malwarebytes? Wenn ja bitte alle posten.

Hallo Arne,

vielen Dank für eine Antwort auf mein Problem.

Ich bin den Anweisungen hier gefolgt und alle logs die ich machen sollte, oder konnte (siehe gmer, was nicht ging) habe ich oben gepostet.

Ich hab viel zu viel Respekt vor den ganzen Progs, als dass ich irgendwas ohne Anleitung machen würde.

Gruß

Anemone

Ich wollte auch nur wissen, ob Du Malwarebytes mehr als 1x durchlaufen hast. Wenn ja, will ich von jedem Durchgang das Log sehen.

Hallo Arne,

ich hab Malwarebytes nur einmal durchlaufen lassen.

Anemone

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Guten Morgen,

Vollscan gemacht.
Hier das log:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4552

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

06.09.2010 00:56:38
mbam-log-2010-09-06 (00-56-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 526148
Laufzeit: 2 Stunde(n), 22 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Gruß
Anemone

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - [2010.09.03 22:14:25 | 000,046,080 | -H-- | M] () -- C:\Windows\System32\autodt32.dll
O4 - HKLM..\Run: [himem.exe] C:\Windows\skksd32.exe File not found
O4 - HKLM..\Run: [SoundMnEx32] C:\Windows\skksd32.exe File not found
O4 - HKCU..\Run: []  File not found
O20 - AppInit_DLLs: (diagisr.dll) -  File not found
O33 - MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\Shell - "" = AutoRun
O33 - MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\Shell\AutoRun\command - "" = K:\ICM_ML.exe -- File not found
O33 - MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\Shell - "" = AutoRun
O33 - MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\Shell\AutoRun\command - "" = J:\autorun.exe -- File not found
O36 - AppCertDlls: contvr32 - (C:\Windows\system32\autodt32.dll) - C:\Windows\System32\autodt32.dll ()
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo,

ich habe wie angegeben das script in das untere Fenster von OTL kopiert. Da ich meinen Benutzernamen nicht unkenntlich gamacht habe, habe ich im script nichts verändert. ich wußte auch gar nicht, was mit das „Ausgesternte“ gemeint ist.
Danach auf „Fix“ geklickt.
Es kam dann eine Fehlermeldung: OTL.exe Kein Datenträger
Darunter im Fenster stand: Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger in das Laufwerk \Device\Harddisk3\DR3 ein

Da ich nicht wußte, was ich machen sollte habe ich drei Mal auf „ abbrechen“ gedrückt und nachdem nichts passierte zwei Mal auf „weiter“ Daraufhin lief das Programm weiter durch, forderte einen Neustart und es erschien dann folgender Text:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\himem.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMnEx32 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:diagisr.dll deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
File K:\ICM_ML.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
File J:\autorun.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\contvr32:C:\Windows\system32\autodt32.dll deleted successfully.
C:\Windows\System32\autodt32.dll moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Ulla
->Temp folder emptied: 68686480 bytes
->Temporary Internet Files folder emptied: 6888226 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2532 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 72,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09062010_152342

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Ich möchte mich nochmal für Deine Unterstützung bedanken.

Gruß
Ulla

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

OTL befindet sich in Euerm Ordner MFTools auf dem Desktop In diesem Ordner ist die exe und eine Textdatei. Wo ist der Quarantäneordner? Und wann soll ich den Virenscanner deaktivieren? Während des zippens? Während des scans gestern hatte ich ihn nicht deaktiviert.

Danke im Voraus.

Gruß
Anemone

Doppelt
sorry!

Nun lies doch einfach meine Anweisungen! Es ist doch klip und klar beschrieben, welchen Ordner zippen sollst und wann Du den Virenscanner zu deaktivieren hast!

Tut mir leid, wenn ich Dir dämlich vorkomme, aber mir ist nicht klar, welchen Ordner Du meinst.
Das Textdokument?

Gruß
Anemone

Der Ordner heißt: C:\_OTL