Hallo Liebes Forum Team,
ich habe, wie so einige hier, mir den Postbank-Tan-Trojaner eingefangen.
Wie das ganze aussieht, erspare ich euch also und komme gleich zur sache.
Hoffe, ihr könnt mir, wie den ganzen anderen auch, helfen.
Als Antivirus-Software benutze ich AVG.free. Diese hat aber nichts gefunden.

Hier also die abgearbeitete Checkliste. (Logfiles als Zip-Datein)
Bei der OTL-Geschichte ging wohl irgendwas schief --> hatte Probleme mit dem w-lan und dann hat sich der Laptop auch noch ins stand by verabschiedet.
Wollte aber mit einem zweiten Durchgang warten, ob das so einfach geht, bzw was ihr dazu sagt.

Danke schon mal im Voraus.
(ich hoffe, ihr könnt mir schnell helfen, muss ne Rechnung bezahlen - via online-banking ;-) )

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

dachte, ich hab das im anhang drin....
oder ging da was schief beim upload?

Sry aber ich wollte einen Vollscan sehen, in deiner ZIP sieht man nur den Quickscan.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

achso, ok.
hab den vollscan grad angeschmissen.

ah ok, danke
habs grad angeworfen

erstmal sorry, wegen dem doppel-post.
irgendwie hat das gehangen bei mir.

also, hier der log-bericht:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5488

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.01.2011 19:10:16
mbam-log-2011-01-09 (19-10-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 217936
Laufzeit: 1 Stunde(n), 36 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\defkvideo.exe ()
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

alles klar, hab ich gemacht.

hier das logfile:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ deleted successfully.
File move failed. C:\WINDOWS\system32\defkvideo.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Juliane
->Temp folder emptied: 22726 bytes
->Temporary Internet Files folder emptied: 3642234 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 103284869 bytes
->Flash cache emptied: 2957 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 218112 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 102,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01092011_193811

Files\Folders moved on Reboot...
C:\WINDOWS\system32\defkvideo.exe moved successfully.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hab das mit dem cc-cleaner gemacht
aber cofi will, dass ich avg - mein anti-virus-programm- deinstalliere.

wollte ich auch machen.
dabei kam aber folgende fehlermeldung:

Arbeitsplatz: Installation fehlgeschlagen
Installation:
Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen.
Error 0x80070005


das deinstallieren war also erfolglos.
:-(

Es gibt da spezielle AVG-Remover, die das Programm deinstallieren, wenn es auf dem normalen Weg nicht funktioniert.
Schau mal hier => AVG - Tools-Download

danke, ich probiers nochmal

hm, war wohl nix
dank des avg-removers fährt mein laptop nun gar nicht mehr hoch und ich musste ihn zum datensichern wegbringen :-(