Hallo liebe Kammerjäger und alle anderen,

ich bin neu hier, also habt Verständnis, wenn ich nicht immer alles gleich verstehe oder so.

Am PC meines Vaters (XP Home, SP3) liegt so einiges im Argen, was wohl nach einiger Recherche auf einen Trojaner zurückzuführen ist. Zu den Problemen:

• Google Umleitung: bei einer Google-Suche wird man manchmal (nicht immer!) entweder auf eine andere Seite geleitet (sind verschiedene, die an die ich mich noch erinnere ist misterinfo.com ?!), oder es lädt ein paar sekunden und man wird zurück zu google.de (Startseite) geleitet oder es lädt ewig und nichts passiert
  
• wenn man eine URL in die Adresszeile eingeben will, springt der Cursor sehr häufig in die Google-Suchzeile (wenn man Google als Startseite geöffnet hat), so dass man die hälfte der URL in der Google-Suche hat
  
• JEDER Google-Link öffnet sich nach Klick im neuen Tab
  
• bei Klicks auf irgendwelche Links oder in Eingabefelder öffnet sich manchmal (nicht immer!) ein neues Fenster, lädt kurz und dann kommt man (in dem neuen Fenster) wieder auf die Startseite (Google)
  
• einige Seiten waren zeitweise gar nicht bzw. erst nach Neustart zu erreichen, während sie auf anderen Rechnern erreichbar waren (zb. zuletzt Wikipedia) ... wieder ewiger Ladebildschirm
  
• zuguterletzt und was mir den Anstoß zur Recherche gegeben hat: der 20 TAN - Abfrage - Trojaner beim Onlinebanking (SPK), habe natürlich keine TAN weitergegeben.

Hab gelesen, dass hier viele das TAN-Trojaner-Problem haben. Hängen die anderen "Probleme" mit diesem zusammen?
HAbe wie in anderen Threads gefordert schon den gmer.exe Scan gemacht, Datei müsste im Anhang sein.

War alles recht ausführlich, aber ich wollte alles gesagt haben. Vielleicht kann mir jemand helfen, sich die Datei anschauen und weitere Schritte raten!!! Vielen Dank!


EDIT: Datei ist jetzt auch angehängt
EDITEDIT: habe eben die Anleitung zur LOAD.EXE gefunden und arbeite das jetzt ab!

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Poste die Logfiles in Code-Boxen. Dadurch sparst du Platz.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich möchte dich nun darauf hinweisen, dass ich hier noch in Training bin und jede Antwort zuerst von einem Mitglied des Kompetenzteams freigegeben werden muss. Dies kann eine leichte Verzögerung der Antworten hervorrufen. Ich bedanke mich für deine Geduld.





Schritt # 1: Load.exe ausführen
Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.html.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.
Wichtig: Falls Du das Tool erneut startest, nutze den CleanUp Button nicht ohne Anweisung.

Anleitung:
http://www.trojaner-board.de/89918-l...e-larusso.html





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort die Logfiles von

• Malwarebytes' Anti-Malware,
• Defogger,
• Gmer und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

So, hallo M-K-D-B,

ich hatte gestern ja nun die Load.exe abgearbeitet. Einziges Problem dabei war, die Malware-Aktualisierung wurde angeboten (seit 44 Tage nicht mehr aktuell... oder so), konnte aber nicht durchgeführt werden, kam ein Fehler. Der Suchdurchlauf ging danach trotzdem los.

War wohl eine ganze Menge infiziert und bin mir nicht sicher, ob jetzt alles okay ist. Die Symptome sind soweit weg...

Die Logs sind im Anhang! (musste OTL.txt in 2 Teile teilen.)

Was ich noch anmerken wollte: Nach der Malwarebytes-Bereinigung war zwar die Internet-Verbindung noch aktiv, aber ich konnte per Browser nicht mehr ins Netz... ICQ ging aber zB. noch. Hab dann die wlan-Treiber (fritzbox wlan stick) neu installiert, dann ging es wieder.


Viele Grüße und Danke schonmal.

Hallo d4ny0,



Schritt # 1: Registry Cleaner
Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall Clean My Registry v4.9 und TuneUp Utilities 2006.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.




Schritt # 2: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 3: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 4: Fragen beantworten
Bitte beantworte uns folgende Fragen:

• Darf man Fragen, woher du dieses Programm hast?
  
  Zitat:

  "{F9766AC1-1461-1033-B862-DF8FE1C033BE}" = Adobe InDesign CS5

  Für einen normalen Windows Benutzer ist ein derartiges Programm viel zu teuer.
• Wie läuft dein Rechner derzeit? Hast du noch Probleme?

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des TDSS Killers ,
• das Logfile von ComboFix und
• die Beantwortung der gestellten Fragen.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!