Hallo zusammen,

ich hatte vor einigen Tagen einen Virus auf meinem Rechner, welcher IE Werbung aufpoppen lies. Ich bin dann einer Anleitung zur Entfernung des Virus/der Viren gefolgt und habe folgendes getan:

1. Systemwiederherstellung ausschalten
2. Rechner im abgesicherten Modus starten
3. Mit SUPERAntiSpyware Professional den Rechner durchsucht (vorher das Prog upgedated)
4. Rechner neugestartet, erneut im abgesicherten Modus, und nochmal mit dem Prog gesucht.
5. Systemwiederherstellung wieder aktiviert.

Beim ersten Durchlauf fand das Programm ca. 500 infizierte Dateien beim zweiten Versuch immernoch ca. 100 ....

Und auch wenn ich das Programm jetzt nochmal laufen lasse, findet es infizierte Dateien -.-

Einziger Lichtblick: Die Werbung ist verschwunden ... yay!
Dafür ist mein Rechner weiterhin extrem langsam und scheinbar noch infiziert.

Ich habe gerade mal Malwarebytes drüberlaufen lassen, hier der Bericht:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5074

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.11.2010 15:39:08
mbam-log-2010-11-08 (15-39-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152912
Laufzeit: 5 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\65MWRMP54G (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Quarantined and deleted successfully.



Zur Info: Ich habe ein Acer-Notebook mit WinXP Home3.
Fast hätte ich es vergesssen: Ich hatte zwischenzeitlich eine externe Festplatte angeschlossen, für den Fall das ich da auch irgendetwas zu beachten habe...

Für weitere Infos fragt einfach nach.
Vielen Dank im Voraus.

Gruß,

Flino

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo cosinus,

erstmal vielen Dank für deine Unterstützung.
Ich habe die Scans mit folgenden Ergebnissen durchgeführt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5081

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.11.2010 16:54:26
mbam-log-2010-11-09 (16-54-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 240702
Laufzeit: 45 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Der Scan konnte keine infizierten Dateien finden, aber wärend er gesucht hat, hat mir Avira einen Fund von popunder[1].htm gemeldet.


Die OTL Ergebnisse habe ich angehangen.

Gruß,

Flino

Zitat:

C:\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE

Wasndas hier?!

Das ist eine unbenutzte Datei. Disqualifiziert mich der Besitz dieser Datei schon für weitere Unterstützung? Die Datei hat auch 100% nichts mit dem Virenbefall meines Rechners zu tun.

Gruß,

Flino

Leider ja, denn es gilt:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Genau genommen falle ich nicht in diese Kategorie, denn ich nutze das Programm nicht. Installiert ist Office 2007.

Gruß,

Flino

Und was macht das Teil auf dem Rechner? Von allein kommt es da nicht hin

Ja stimmt, ich habe das Prog von einem Freund bekommen aber nutzen tue ich es nicht und das ist das Einzige, dass eure Regel verbietet. Aber schon okay ich werde mich wieder alleine mit meinem Problem beschäftigen. Ihr solltet trotzdem drüber nachdenken eure Regeln auf den Besitz solcher Software zu erweitern

Viele Grüße,

Flino

Lösch es sofort und ich mach eine Ausnahme, du hast ja auch den Kram nicht installiert.

Werde ich machen. Da ich jedoch von keiner weiteren Hilfe ausging habe ich den Rechner gerade nochmal im abgesicherten Modus gestartet und lasse Malwarebytes einen komplett Scan machen (Systemwiederherstellung ist deaktiviert). Soll ich die dazugehörige Logfile (wenn fertig) posten, bzw. sonst noch etwas tuen?
Vielen Dank für die Ausnahme und die Unterstützung.

Gruß,

Flino

Ja poste erstmal das Log wenn der Scan fertig ist. Dann sehen wir weiter.

Nagut jetzt bin ich verwirrt. Das Log sieht wie folgt aus:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5087

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.11.2010 12:32:40
mbam-log-2010-11-10 (12-32-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 242321
Laufzeit: 1 Stunde(n), 25 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Also laut Malwarebytes bin ich clean?
Gibt es eine Möglichkeit das gegen zu prüfen? Ich kann das nicht wirklich glauben.

Gruß,

Flino

Hast du das Log con SUPERAntiSpyware noch? Poste alle davon falls es mehrere davon gibt.

Ja habe zwei Logs von SASW (wobei es eigentlich mehr sein müssten da ich alleine zwei Vollscanns gemacht habe O.o ).

Erste Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/06/2010 at 03:51 PM

Application Version : 4.45.1000

Core Rules Database Version : 5820
Trace Rules Database Version: 3632

Scan type : Complete Scan
Total Scan Time : 01:21:19

Memory items scanned : 250
Memory threats detected : 0
Registry items scanned : 7429
Registry threats detected : 4
File items scanned : 21873
File threats detected : 98

Adware.IWantSearchBar
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@clicksor[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@288_[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@unitymedia[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@vinvest.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@opti.inextmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@user.lucidmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@myroitracking[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bluestreak[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz10.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media6degrees[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@pointroll[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@advertising[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@advertise[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.heias[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.pubmatic[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.gamesbannernet[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.performance-netzwerk[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz9.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradetracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz10.91491.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fl01.ct2.comclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.jamba[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@interclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@stat.dealtime[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adserverplus[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@overture[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@track.right-ads[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adecn[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@windowsmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@gomyhit[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tacoda[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.monster[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@weborama[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@harrenmedianetwork[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz7.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@spaindemoaccount.solution.weborama[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@microsoftwindows.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad1.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adfunky[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@hasenet.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ar.atwola[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[4].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atwola[4].txt
C:\Dokumente und Einstellungen\***\Cookies\***@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@445541762785972[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@shopping.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@1067766890[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adbrite[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@monstercom.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.gomeotrack[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.burstnet[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.creative-serving[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@revsci[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@collective-media[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adc-serv[2].txt

Malware.Trace
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\SOFTWARE\XML

Trojan.Agent/Gen-Kryptek
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\YCV.EXE
C:\WINDOWS\Prefetch\YCV.EXE-087953DC.pf

Trojan.Agent/Gen-FakeFraud
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\YCW.EXE
C:\WINDOWS\Prefetch\YCW.EXE-31523A64.pf


Zweiter Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/08/2010 at 03:27 PM

Application Version : 4.45.1000

Core Rules Database Version : 5823
Trace Rules Database Version: 3635

Scan type : Quick Scan
Total Scan Time : 00:14:23

Memory items scanned : 549
Memory threats detected : 0
Registry items scanned : 1488
Registry threats detected : 1
File items scanned : 8213
File threats detected : 4

Disabled.SecurityCenterOption
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY

Adware.Tracking Cookie
.doubleclick.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
adx.chip.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
.apmebf.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]



Konnte die Logs leider nicht anhängen, habe immer die Fehlermeldung "Ungültige Datei" bekommen.

Gruß,

Flino