Hallo allerseits,

ich richte mich nun hier ans Forum, da ich seit gestern zum ersten mal mit hartnäckigem Trojanerbefall zu kämpfen hatte.


Was war passiert?

Gestern Abend wollte ich eine Datei (PesEdit Patch 1.6 für das Spiel Pro Evolution Soccer 2011, etwa 520mb) herunterladen.
Etwa bei der Hälfte schlug Avira AntiVir Alarm, dass es Trojaner gefunden hat. Diese lies ich löschen, sie kamen jedoch immer wieder. Das System wurde sehr langsam, die Google-Suche verlinkte mich auf Werbe-Seiten, IE Pop-Ups und System-Fehlermeldungen blinkten ständig auf.


Wie hab ich reagiert?

Ich habe Spybot aktualisiert, scannen lassen und alle Gefahren ausgeschaltet.
Leider half dies nichts, immer noch liefen dubiose Hintergrundprogramme (Offerbox.exe, etc.).

Dann beging ich einen Fehler: Und zwar habe ich aus Angst um meine Daten meine externe Festplatte angeschlossen und wichtige Dateien, welche ich seit dem letzten "Externen HD Back-Up" noch nicht gesichert hatte, auf die Festplatte kopiert.

Darauf lies ich Anti-Vir mein System prüfen, welches mir einen Rootkit-Trojaner fand. Ich habe ihn mit dem Kaspersky Rootkit Tool gefunden und zerstört.
Danach habe ich mich weiter schlau gemacht und Malwarebytes Anti-Malware runtergeladen, installiert und per Quick-Scan ca. 30 Probleme gefunden, welche ich gelöscht habe.


Die momentane Situation:

Das System scheint flüssig zu laufen, es sind keine seltsamen Prozesse wie "Qj1.exe" im Hintergrund am laufen, Pop Ups tauchen nicht mehr auf und selbst ein kompletter mlab-Suchlauf bleibt ohne Treffer.

Habe das mlab-Log sowie die OTB-Logs angehängt.


Fragen:

1. Kann ich davon ausgehen, dass die größte Bedrohung überstanden ist oder findet von euch noch jemand verdächtige Dateien?
2. Habe ich richtig auf die Bedrohung reagiert? Was könnte man besser machen?
3. Nachdem ich mich über die Rootkit-Trojaner informiert habe, fiel mir auf, dass es nicht gut war die externe Festplatte anzuschließen, da die Trojaner sich auf andere Laufwerke ausbreiten (Soweit richtig?).
Jedenfalls, wie schaffe ich es, meine möglicherweise befallene ext. HD zu säubern ohne mir mein System aufs Neue zu verseuchen?


Vielen Dank für eure Antworten.

Zitat:

Gestern Abend wollte ich eine Datei (PesEdit Patch 1.6 für das Spiel Pro Evolution Soccer 2011, etwa 520mb) herunterladen.

Was bewirkt der Patch? AUs welcher Quelle stammt der?

Das ist ein Patch, der alle Spieler/Mannschaftsdaten korrigiert und aktualisiert. Bisher konnte ich diesen immer problemlos auf der Entwicklerseite herunterladen, dieses mal habe ich jedoch eine Komplettversion (anstatt den sonst üblichen 4-5 Parts) von einer anderen Seite geladen.

Vielleicht habe ich mich etwas zu früh gefreut. Geradte mlab laufen lassen, promt wieder einen Treffer.

Hier der Bericht sowie die OTL-Logs:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup\rsrc\Autorun.exe
O33 - MountPoints2\F\Shell\dinstall\command - "" = F:\Directx\dxsetup.exe
[2011.02.23 21:55:35 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Local\{DBCE22C8-A9AE-4E76-9178-D8437BB68AF5}
[2011.02.24 07:49:08 | 000,000,120 | ---- | M] () -- C:\Users\Max\AppData\Local\Kdexuw.dat
[2011.02.24 00:08:55 | 000,000,000 | ---- | M] () -- C:\Users\Max\AppData\Local\Kxidur.bin
[2011.02.23 21:55:36 | 000,000,120 | ---- | C] () -- C:\Users\Max\AppData\Local\Kdexuw.dat
[2011.02.23 21:55:36 | 000,000,000 | ---- | C] () -- C:\Users\Max\AppData\Local\Kxidur.bin
@Alternate Data Stream - 498 bytes -> C:\ProgramData\TEMP:05EE1EEF
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.