Hallo zusammen,

leider habe ich einige TRojanerfunde mithilfe von Malwarebytes zu verzeichnen. Ist der PC noch sicher nachdem Malwarebytes diese gelöscht hat? Danke für jede Antwort.

Mark

Hi,

gute Frage, aber ohne zusätzliche Infos kann Dir da hier keiner sagen...
- welche Trojaner wurden wo entfernt?
- was für ein OS hast Du (XP, vista, Win7, 32, 64 bit...)
- bitte zusätzliche Logs erstellen:

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Vielen Dank, Chris4you,

ich bin jetzt nicht an dem besagten Laptop, hab aber den Log von Malwarebytes. Vielleicht kannst Du damit was anfangen?

Gruß
Mark



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4584

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

09.09.2010 22:08:51
mbam-log-2010-09-09 (22-08-51).txt

Scan type: Full scan (C:\|D:\|E:\|)
Objects scanned: 175958
Time elapsed: 36 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Besitzer\Desktop\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Desktop\hitmanpro30.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Desktop\RSIT.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Desktop\XP-Treiberxxxxx\Modem\agrsmdel.exe (Rogue.Installer) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{2EDA71CE-FBF2-423A-934F-AD2BDA11264F}\RP150\A0033020.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Hi,

wo hast Du die Programme her (hitman etc.)?
Wenn die gelöscht worden sind ist das ok, das hier ist schlimmer:

Zitat:

E:\System Volume Information\_restore{2EDA71CE-FBF2-423A-934F-AD2BDA11264F}\RP150\A0033020.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Der ist bereits in der Systemwiederherstellung, d.h. er läuft mit ziemlicher Sicherheit unter dem Schutz eines Rootkits noch ... sonst hätte MAM ihn wohl ebenfalls gefunden... oder ist Laufwerk E eine USB-Platte (dann unbedingt die Platte vor dem Start von CF an den Rechner hängen)?

Falls es sich nicht um ein 64-Bitsystem handelt zuerst CF und dann wie vorgeschlagen OTL:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hallo Chris4you,

hab alles gemacht. Anbei die Logfiles als Zips. Nochmals recht herzlichen Dank. Was würde ich machen ohne Leute wie Dich.

Gruß
Mark

Hi,


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\ntfs.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

sfc /scannow
1.) Start->ausführen cmd eingeben
2.) sfc /scannow eingeben
3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden
(bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte)
4.) warten...

chris