auch ich habe mir irgendwie diesen 20 Tan Trojaner eingefangen.

Natürlich will ich ihn auch wieder loswerden. Eine Neuinstallation möchte ich mir momentan sparen.

bisher durchgeführte Maßnahmen:

Komplettscan mit Avira Antivirus (von Linux CD gebootet und Antivir gestartet, natürlich erst virendatei aktualisiert), gefunden wurde ein JAVA/Rowindal.R, habe ich entfernen lassen.

Desweiteren wurde von Antimalware bei einem ersten Durchlauf ein Trojan.Bancos gefunden, die "infizierte" Datei war aber ein offizieller Patch für ein Game, daher vermute ich hier eine falsche Erkennung, zumal die datei auch schon wesentlich älter war und seit der letzten Windows Komplettinstallation auch nicht mehr ausgeführt wurde.

Auch bekam ich gerade eine Meldung das auf eine datei im "system volume information" Ordner zugegriffen werden sollte und antivir den zugriff gesperrt hat, weil es sich um den Virus "TR/Trash.gen" handelt.

anbei die Logs von OTL und Antimalware (einmal mit der erkennung von trojan.bancos, und einmal der durchlauf danach)

weitere logs von antimalware oder otl habe ich nicht, da ich beide Programme heute zum ersten Mal benutzt habe.

zu beachten ist auch noch das ich am Do und Fr keine Internetverbindung hatte, und so im OTL Log ein paar Fehlermeldungen enthalten sind weil Antivir sich nicht aktualisieren konnte.

Ich hoffe ich habe alle Infos gegeben, wenn noch etwas fehlt einfach bescheid geben.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten!

nunja... wie bereits erwähnt gibt es keine weiteren logs... hatte mit dieser Frage ja bereits gerechnet... ;-)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - C:\WINDOWS\system32\oskgman.dll ()
O32 - AutoRun File - [2002.09.09 00:35:54 | 000,200,104 | ---- | M] () - D:\AUTO.pat -- [ NTFS ]
O32 - AutoRun File - [2002.09.09 00:35:54 | 000,007,316 | ---- | M] () - D:\AUTO.pst -- [ NTFS ]
O32 - AutoRun File - [2005.01.03 00:56:02 | 000,000,000 | ---- | M] () - D:\.autoreg -- [ NTFS ]
O33 - MountPoints2\{2c318317-6e28-11df-975a-001b11b262e6}\Shell\AutoRun\command - "" = I:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell\AutoRun\command - "" = F:\Bin\assetup.exe -- File not found
O36 - AppCertDlls: nlsfnsta - (C:\WINDOWS\system32\oskgman.dll) - C:\WINDOWS\system32\oskgman.dll ()
[2010.10.23 17:35:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[2010.10.21 02:13:21 | 000,000,000 | -HSD | C] -- C:\found.004
[2010.10.21 01:05:34 | 000,000,000 | -HSD | C] -- C:\found.003
[2010.10.20 19:56:53 | 000,000,000 | -HSD | C] -- C:\found.002
[2010.10.17 17:35:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\{A4B500C8-F3EB-4AD9-9762-515CCA35FD16}
[2010.10.18 04:13:33 | 000,049,152 | -H-- | M] () -- C:\WINDOWS\System32\oskgman.dll
[2010.09.30 20:09:06 | 000,001,024 | ---- | C] () -- C:\.rnd
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

kurz nachdem ich den "Fix Button" angeklickt habe, ist die Taskleiste verschwunden und OTL "eingefroren", also es steht nun (keine Rückmeldung) in der Titelleiste von OTL

was nu?

Probiers bitte nochmal.

wieder "keine Rückmeldung".... sieht genauso aus wie beim ersten Mal...

anbei mal nen Foto von den Meldungen in OTL

so... habe es geschafft es durchlaufen zu lassen... lag daran das im Laufwerk F: keine CD drin war...

die oskgman.dll hatte ich zwischenzeitlich manuell entfernt (Linux von Live CD gestartet) bevor ich auf die Idee mit der CD kam...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

nach dem neustart des PC meldete sich jetzt die firewall das das Programm catchme.tmp versucht programmteile in einem anderen Prozess auszuführen, und es wird gefragt ob ich es erlauben will oder nicht.

soll ich es erlauben oder nicht?

Natürlich erlauben! Das ist von Combfix!

ah, ok, habe es erlaubt.

soll ich combifix dann nochmal durchlaufen lassen, es war ja fertig bevor ich diesen Zugriff erlaubt habe.

hier erstmal das erste log:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

gmer hat sich 2 mal mit bluescreen verabschiedet.

Osam lief durch, log anbei

MBR Check hat 2 mal den Rechner eingefroren, ging nur noch ein reset. Wenn ich das richtig sehe passierte dies jeweils als es den MBR checken wollte...

ich könnte da aber auch nochmal den MBR mit avira von ner Linux Live Cd prüfen lassen....

Das Log von mbrcheck ist unvollständig...