Hi,

mir ist es jetzt auch passiert - ich habe mir einen Trojaner eingefangen

Symptome waren

a) Firefox stürzt beim Start ab - IE funktioniert, bleibt aber auch öfter "hängen"
b) Windows Update funktioniert nicht (benutze Windows 7)
c) Lenovo Update funktioniert nicht
d) MS Security Essentials kann die neusten Virendefinitionen nicht downloaden

Was ich dann gemacht habe

a) McAffee Stinger benutzt: 2 Trojaner identifiziert und entfernt
b) BitDefender benutzt: 1 Trojaner identifiziert (Backdoor.Bot.128189) und entfernt

Symptome waren immer noch da. Dann bin ich auf dieses Forum gestossen und habe

a) 4 x Malewarebytes laufen lassen. Es wurde immer wieder der gleiche Trojaner (sah zumindest für mich so aus) identifiziert und entfernt - beim letzten Mal war das Logfile aber sauber
b) OLT laufen lassen

Die Logfiles sind im Anhang. Ich kann den OLT nicht interpretieren - Hilfe! Bin ich den Trojaner jetzt los???

Danke!!!
caecilia

Hi,

Achtung: Falls noch nicht erfolgt, von einem sauberen Rechner aus SOFORT alle Passwörter ändern (Ebay etc.). Die werden mit "abgefischt".

Der Banker ist noch da:
O36 - AppCertDlls: Dismtray - (C:\Windows\system32\charicli.dll) - C:\Windows\System32\charicli.dll ()

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\charicli.dll
         

hoch.

Ich möchte was probieren, Cureit sollte Ihn finden, falls nicht werden wir ihn mit OTL "ausheben"...

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Hi Chris,

super-vielen Dank für deine Nachricht! Dachte mir schon, dass es das noch nicht gewesen ist - mist. Werde gleich noch die Passwörter ändern und mich dann wieder melden.

Danke!!!
caecilia

Hi,

lade die Datei wie beschrieben bei uns hoch...

Dann Dr. Web/Cureit laufen lassen...

chris

Ok, habe die Datei hochgeladen und lasse jetzt Dr. Web laufen. Der Scan hat auch bereits etwas gefunden - soll ich das dann gleich entfernen?

Danke & LG

Hi Chris,

du hattest recht, genau in dieser "charicli.dll" Datei - lasse die jetzt desinfizieren und den Scan weiterlaufen.

caecila

Hi,

gut, es ist lt. virustotal.com der einzigste scanner der das teil kennt... tzzz...

Poste wie beschrieben das Log von Dr. Web (nur die Zeilen mit "infiziert") und erstelle und poste ein neues OTL-Log...

chris

Hi Chris,

Quickscan von Dr. Web ist durchgelaufen, jetzt laeuft der Komplettscan - der dauert ewig, bitte nicht weggehen!!!

caecilia

Hi,

und was sagt der gute Dr. Web?
Poste danach bitte auch noch ein neues OTL-Log...

chris

Hi Chris,

Dr. Web laeuft immer noch. Ist das normal, dass es so lange dauert? Der Scan laeuft jetzt ca. 9 h und wie es aussieht, braucht er noch mal 9 h. Er hat aber den "charicli.dll" gefunden und noch drei andere Sachen (java downloader?). Fuerchte ich werde das logfile erst morgen frueh posten koennen - bist Du morgen evtl. auch online??? Waere super...

Vielen, vielen Dank!
caecilia

Hi,

gegen Abend oder Nachmittag vielleicht...
Du könntest offline gehen und dann Deinen eigenen Scanner/Guard abschalten, so wird wahrscheinlich alles zweimal gescannt, erst prüft der eine dann der andere Scanner die Datei...

Java wird zur Zeit gerne verseucht bzw. liegt die Malware im deployment-cache... Den würde ich dann auch ganz löschen, nach ende des scanns:

Deployment-Cache löschen:
Folge den Anweisungen auf dieser Seite
Virus im Cache-Verzeichnis von Java Runtime Environment (JRE) gefunden
und dann dem Abschnitt "Lösung"...

Allerdings sind 18h Laufzeit ungewöhnlich...

chris

Hi Chris,

bin jetzt offline, allerdings kann ich meinen Virenscanner nicht unterbrechen, da der Dr. Web im erweiterten Schutzmodus arbeitet. Dr. Web arbeitet nur mit 26 kb/s. Liegt vermutlich an meinem eigenen Virenscanner, mist...

Werde das dann mit dem Cache gleich nach dem Scan machen. Danke!

Melde mich dann morgen mit den logs!
LG
caecila

Hi,

ok, bis heute Abend...
Ich sollte jetzt auch Schluß machen....

chris

Hi Chris,

endlich ist der Komplettscan von Dr. Web durch. Hier die Teile vom log zu "infiziert":

[Speicherscannen] Speichervorgang: C:\Windows\System32\svchost.exe:1036 infiziert mit BackDoor.Tdss.565 – beseitigt
Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005
C:\Windows\system32\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht

"Hier musste ich dann einen Neustart machen, um den "Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005" zu entfernen. Das, was jetzt kommt, interpretiere ich so, dass es entfernt wurde, ja?"

Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK

"Dann der Komplettscan"

>C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93
C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben
>C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106
C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben
C:\Documents and Settings\XXX\Desktop\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht
>C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93
C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben
>C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106
C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 1287175
Infiziert: 5
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 1
Umbenannt: 0
Verschoben: 4
Ignoriert: 0
Geschwindigkeit:: 35 Kb/s
Dauer:: 14:32:19
=============================================================================

Hat also nicht 19 h, sondern 14,5 h gedauert Als ich die Internetverbindung unterbrochen habe, ging es schneller. Ich habe jetzt noch die 4 Objekte im DoctorWeb\Quarantine. Die müssen noch gelöscht werden, ja? Ich hatte die empfohlenen Einstellungen für Dr. Web genutzt. Wie lösche ich die Dinger jetzt?

Habe dann Deinen Rat befolgt und den Java Cache manuell gelehrt.

Dann noch mal OLT laufen lassen, die Files sind anbei. Was machen wir jetzt?

Danke & LG,
caecilia

Hi,

JAVA
Deine Javasoftware ist veraltet!
Download Java-Downloads für alle Betriebssysteme
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!


OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (vpnva) -- C:\Windows\System32\DRIVERS\vpnva.sys File not found
DRV - (upperdev) -- C:\Windows\System32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (SASKUTIL) --  File not found
DRV - (SASDIFSV) --  File not found
DRV - (pccsmcfd) -- C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found
DRV - (DwProt) --  File not found
DRV - (DgiVecp) -- C:\Windows\System32\Drivers\DgiVecp.sys File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O33 - MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\Shell - "" = AutoRun
O33 - MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found
O33 - MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\Shell - "" = AutoRun
O33 - MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Die Quarantäne von CureIT sollte sich unter C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb befinden und kann gelöscht werden...

chris