Hey zusammen,

Mein PC ist mit dem flacor.dat Trojaner infiziert. Ich wurde durch eine Fehlermeldung beim Systemstart darauf aufmerksam. Eingenistet hat sich das mistfiech in C:\Users\***\AppData\Roaming\Adobe\Update\flacor.dat

Ich habe mir das Forum durchgesehen und versucht alle Schritte in korrekter Weise zu befolgen. Ich hoffe ihr könnt mir sagen ob die Gefahr nun gebannt ist.

Ich habe mit Malwarebytes-Anti-Malware einen Scan durchgeführt und den Trojaner löschen lassen. Dannach habe ich mit OTL einen Scan durchgeführt. Ich hänge die beiden OTL Files und die eine Malwarebytes Datei an den Post und hoffe ihr könnt mir sagen ob ich den Trojaner los geworden bin.

Vielen Dank schon im Voraus!

Grüsse
Boudi

Hallo und

Gibt es noch weitere bzw. ältere Logs von Malwarebytes oder hast du zum ersten Mal mit diesem Tool gescannt?

Hy Arne,
zunächst mal vielen Dank für die rasche Rückmeldung!!

ich habe das erste Mal mit Malwarebytes gescannt. Ansonsten wird der PC von AVIRA (Gratisversion) "geschützt"...

Gruss

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\{076ffcba-55d5-11de-9131-001cc0948682}\Shell\AutoRun\command - "" = E:\travel&work.exe -- File not found
O33 - MountPoints2\{076ffcba-55d5-11de-9131-001cc0948682}\Shell\Shell00\Command - "" = E:\travel&work.exe -- File not found
O33 - MountPoints2\{0eb5fa4e-0193-11de-b65a-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{0eb5fa4e-0193-11de-b65a-806e6f6e6963}\Shell\AutoRun\command - "" = D:\EIVCD.exe -- File not found
O33 - MountPoints2\{465ef105-0427-11de-8e5f-001cc0948682}\Shell\AutoRun\command - "" = J:\travel&work.exe -- File not found
O33 - MountPoints2\{465ef105-0427-11de-8e5f-001cc0948682}\Shell\Shell00\Command - "" = J:\travel&work.exe -- File not found
[1996.09.30 00:00:00 | 000,041,472 | ---- | C] () -- C:\Windows\System32\WOSAXRT.DLL
[1996.09.30 00:00:00 | 000,006,656 | ---- | C] () -- C:\Windows\System32\MSNWEBQT.DLL
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hy Arne,
Sorry, dass ich nicht sofort antworten kann. Es handelt sich nicht um meinen Computer und habe nur zwischendurch Zugang zu dem Gerät. Ich werde die von dir beschriebenen Schritte sobald wie möglich ausführen.

Vielen Dank schon mal zum Voraus!!

Boud

Hey

habe die Anweisungen endlich umgesetzt und poste das Logfile. Der PC wurde direkt nach dem "run fix" neu gestartet...

nochmals sorry für die Verzögerung.

hoffe das Biest ist nicht mehr aufem Computer!??

Gruss
boud

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey,

ich bin deinen Anweisungen gefolgt, CClean laufen lassen und Cofi ausgeführt. Ich poste das ComboFix Logfile.

Hoffe das gibt Aufschluss über den Verbleib des Trojaners.
herzlichen Dank und Grüsse

Boud

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Done...
Poste das Log von Osam und den Output von MBRcheck.

Gruss
Boud

GMER wollte nicht?

Hy Arne,

ich hatte nur kurz Zugriff zum Rechner (der steht ja nicht bei mir) und habe deshalb GMER nicht gemacht. kann das aber nachliefern.

besteht immer noch eine Gefahr?

Gruss

Ja liefer das GMER Log bitte nach

Hy Arne,

zunächst möchte ich mich entschuldigen, dass das hier so umständlich und lange dauert. ich konnte gestern gerade meine Abschlussarbeit drucken und war deshalb im lezten Monat total unter Strom und hatte keine Zeit zum Problemrechner zu fahren... sorry

GMER hat beim ersten mal folgendes ausgespuckt:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-05 18:41:12
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 SAMSUNG_ rev.1AA0
Running: 8r3irrzl.exe; Driver: C:\Users\ALAINS~1\AppData\Local\Temp\awloapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\Windows\system32\DRIVERS\nvlddmkm.sys  section is writeable [0x8E409340, 0x4128C7, 0xE8000020]

---- EOF - GMER 1.0.15 ----
         

--- --- ---

da mir der output zu knapp vorkam habe ichs heute noch mal versucht. leider hat dann heute nichts mehr funktioniert. ich habe die Datei noch 3 mal runtergeladen, und jedesmal 2 mal probiert. Dabei waren alle Verbindungen gekappt, Virenscanner ausgeschaltet und auch die Sync Programme, dropbox etc., die im Hintergrund laufen soweit möglich ausgeschaltet. Ich habe als administrator gestartet.
NAchdem das Program gestartet hat, habe ich auf scan geklickt. nach ca 1 min kommt jedesmal die selbe meldung, dass das Programm nicht funktioniert. Wenn ich das ganze gleich nochmal wiederhole, krieg ich einen bluescreen und die maschine legt sich auf den Bauch. ich hänge ein bild der fehlermeldung an.

ich hoffe du kannst mir trotzdem auskunft geben ob die maschine jetzt sauber ist, oder was kann ich noch tun?

gruss
boudi

GMER stürzt rel. häufig ab, hab ich schon erwähnt.
Die anderen Logs sehen aber ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!