Hallo an alle.

Vor einigen Tagen ist bei mir ein Fenster von Windows Defender erschienen. Er hat etwas gefunden. Nennt sich "Backdoor: Win 32/Cybot.B".

Ich habe darauf hin mein Antivirus Program von Antivir auf Karspersky ausgetauscht. In der Hofnung, dieses würde das Problem lösen und diesen Backdoor: Win 32/Cybot.B vom Computer entfernen.... Leider weit gefehlt!

Ich habe dann das Problem gegoogelt und bin so auf diesen Forum gestossen.
Ein User hat ein ähnliches Problem geschildert. Leider wurde nicht alles gepostet, so dass ich nicht alleine das Problem lösen kann.

So habe ich alle Prozeduren bereits durchgeführt (scanen, etc..), die ihm gesagt worden sind und als Text Datei mit angehängt.

Ich benutze ein Laptop von ASUS mit dem Betr.system VistaPremium.

Ich hoffe auf eure Unterstützung bei der Lösung des Problems.

Ach ja vielleicht sollte ich erwähnen, das ich nicht besonders fit in Computerangelegenheiten bin....

Hallo und

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Und mal so als Hinweis: Du kannst und solltest am besten gleich alle Logs in eine ZIP-Datei packen! Dann erspart man sich das hoch- und runterladen mehrerer Dateien!

Hi Arne,

cool, dass du dir Zeit nimmst.

Wie gewünscht habe ich einen Vollscan mit Malwarebytes durchführen lassen.
Im Anhang findest du das heutige Log und das von letzter Woche.

.....und danke für dein Tipp.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 61859
FF - prefs.js..network.proxy.type: 1
[2010.12.14 22:08:51 | 000,004,353 | ---- | M] () -- C:\Users\ASUS\AppData\Roaming\D1F6.8B0
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:1AF191EE
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:12D2EB9C
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hey Arne,


vor der Ausführung von OTL kammen zwei Fehlermeldungen auf, nach dem mein Laptop hochgefahren ist. Ich poste dir diese.

Nach der Ausführung von OTL musste ich einen Neustart machen und jetzt bekomme ich überhaupt keine Fehlermeldungen mehr!!!

Bin ich den Trojaner los? Falls dies der Fall ist, bin ich dir was schuldig.....

PS: Ich wusste jetzt nicht, ob ich für die Durchführung von OTL offline sein musste. Habe die Internetverbindung die ganze Zeit bestehen lassen!

BG Alex

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin Arne,

ComboFix habe ich jetzt ausgeführt. Den Log hänge ich wieder an.


BG Alex

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Habe alles, wie du es gesagt hast gemacht.

Wo ich mir aber unsicher gewesen bin, ist beim OSAM! Ich wußte nicht, ob ich die Einträge deaktivieren sollte? Also habe ich es auch nicht gemacht. Ist das schlimm?


Zitat der OSAM Anleitung:

.......
Einträge deaktivieren

Nachdem ein Kompetenzler dir die ensprechenden Einträge genannt hat gehe folgendermaßen vor um diese zu deaktivieren.

.......

BG Alex

Da steht nichts von deaktivieren! Nur wenn ich oder ein anderer Kompetenzler dir Einträge nennt, die du mit OSAM fixen sollst - erst dann musst du was deaktivieren.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Moin Arne,

ich habe zuerst Malwarebytes ausgeführt. Dieser hat zwei infizierte Objekte gefunden. Nach dem Durch lauf habe ich auf den Button "infizierte Objekte entfernen" gedrückt, danach einen Neustart ausgeführt. Anschließend SUPERAntiSpyware gestartet. Die Berichte findest du im Anhag.

Noch was, wenn ich den Laptop starte, kommt ab und zu die Fehlermeldung, die ich dir schon mal im PDF Format gepostet habe. Das kommische ist aber, dass es nicht immer auftaucht.


BG Alex

Sieht ok aus, da wurden nur Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hi Arne,

ich habe heute noch mal den Laptop mit Malwarebytes und SUPERAntiSpyware durchsuchen lassen und beide Programme haben nichts gefunden.

Ich schließe daraus, dass der Laptop sauber ist.



Ich bedanke mich viel Mals für deine Hilfe und wünsche dir schöne Festtage und einen guten Rutsch ins neue Jahr 2011.

BG Alex

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Moin Arne.

Mission "Update" wurde durchgeführ!


BG Alex