Hallo liebes Forum.
Vor ungefähr einer Woche habe ich einen Virenscan mit Antivir gemacht, da mein Pc einige Programme, wie zum Beispiel den Interntexplorer, nicht mehr gestartet hat. Antivir hat dann einige Viren gefunden und seitdem ging es mit meinem Computer auch immer weiter bergab.

Ich habe dann einen Bekannten gefragt, der sich etwas mit Computern auskennt. Dieser hat mich dann aufgefordert Scans mit Superantispyware, Malwarebytes und Spybot zu machen. Außerdem wollte er einen HijackThis Log haben.
Ich hab dies im abgesicherten Modus gemacht und nachdem ich Malwarebytes 2x und SUPERAntiSpyware und Spybot 1x war der letzte Log auch sauber.

Auf Grund eines Missverständnisses habe ich den Computer danach aber wieder im normalen Modus hochgefahren und dementsprechend fing alles wieder von vorne an.
Außerdem habe ich vor 2 Tagen, also nachdem der Pc wieder normal hochgefahren war, nach dieser Anleitung ( Trojan.Spyeye Removal - Removing Help | Symantec ) den Eintrag recycle.bin.exe gelöscht. Ich weiß jetzt allerdings nicht, ob dies noch aktuell ist.

Besagter Bekannter verwies mich nun hier ins Forum. Er meinte ich solle einen neuen Log von Malwarebytes hier posten, den ich im normalen Modus gemacht habe. Nun ist aber das Problem, dass das Programm immer abstürzt, wenn ich den Pc normal hochfahre. Dies könnte an den ganzen Virusmeldungen von Antivir liegen, aber da bin ich mir nicht sicher.

Dementsprechend kann ich momentan nur einen Log von einem vollständigen Suchdurchlauf von gestern im abgesichtern Modus anhängen, sowie den ersten Scan mit Malwarebyten vor einer guten Woche.

Ich hoffe, dass man damit erstmal etwas anfangen kann.
Wenn ich etwas unlogisches geschrieben habe, dann tut es mir wirklich sehr Leid. Nur leider bin ich wenn es um Computer geht gerade mal gut genug den TaskManager zu starten. Also ziemlich unbeholfen.
Ich danke euch trotzdem schonmal im Vorraus.
Cathy.



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5990

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

13.03.2011 11:17:17
mbam-log-2011-03-13 (11-17-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 304677
Laufzeit: 5 Stunde(n), 15 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\recycle.bin.exe (Trojan.Spyeyes) -> Quarantined and deleted successfully.


(& vor ein paar Tagen)


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5990

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.03.2011 22:17:53
mbam-log-2011-03-09 (22-17-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 314455
Laufzeit: 4 Stunde(n), 48 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Zwunzi (Adware.Zwunzi) -> No action taken.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\moonxxxxxx.exe (Spyware.Passwords.XGen) -> Value: moonxxxxxx.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Recycle.Bin.exe (Trojan.SpyEyes) -> Value: Recycle.Bin.exe -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Spyware.Passwords.XGen) -> Bad: (mcjxiubx.dll) Good: () -> No action taken.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\anwendungsdaten\Zwunzi (Adware.Zwunzi) -> No action taken.
c:\programme\Zwunzi (Adware.Zwunzi) -> No action taken.
c:\moonxxxxxx.exe (Trojan.SpyEyes) -> No action taken.
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

Infizierte Dateien:
c:\moonxxxxxx.exe\moonxxxxxx.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\mcjxiubx.dll (Spyware.Passwords.XGen) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\nsk18.tmp\uninstall.exe (Adware.Agent) -> No action taken.
c:\system volume information\_restore{acc3e850-1ac6-40ff-a2ed-94ebb172fabe}\RP676\A0131225.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{acc3e850-1ac6-40ff-a2ed-94ebb172fabe}\RP676\A0132250.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{acc3e850-1ac6-40ff-a2ed-94ebb172fabe}\RP676\A0132258.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{acc3e850-1ac6-40ff-a2ed-94ebb172fabe}\RP676\A0131222.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\0.9385528447355.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\dfjp\setup.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\0.33181874147132484.exe (Trojan.Dropper) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\0.6509337892160084.exe (Trojan.Dropper) -> No action taken.
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\Zwunzi\zwunzi120.exe (Adware.Zwunzi) -> No action taken.
c:\moonxxxxxx.exe\config.bin (Trojan.SpyEyes) -> No action taken.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

(Natürlich habe ich die Sachen nach diesem Log gelöscht, der Log nach dem Löschen ist mir allerdings in den Tiefen meines Computers abhanden gekommen.)

Zitat:

Antivir hat dann einige Viren gefunden und seitdem ging es mit meinem Computer auch immer weiter bergab.

Bitte alle Logs nachreichen!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Zitat:

Datenbank Version: 5990

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Entschuldigung, dass ich erst jetzt wieder antworte, dadurch dass mein PC Kaputt ist habe ich einfach selten Zugriff aufs Internet.

Das sollten jetzt alle Logfiles sein die Malwarebytes gemacht hat seitdem das mit den ganzen Viren angefangen hat.
Logfile6 ist dabei der letzte Scan, den ich nach dem Update vorgestern gemacht habe. Dieser ist allerdings wieder im abgesichten Modus, da Malwarebytes im normalen Modus immernoch immer wieder abstürzt.

Einen Ordner mit Logfiles habe ich außerdem nirgendwo auf dem Rechner finden können. Auch nicht über Suche.

Ich hoffe, dass das erstmal so in Ordnung ist.
Wenn nicht werd ich mich natürlich drum kümmern.
Dankeschön schonmal.

Mach bitte Logs mit OTL.exe und poste sie.

Ich hoffe das war so richtig

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.14 20:43:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.03.14 22:31:56 | 000,000,003 | RHS- | M] () - E:\autorun.inf -- [ FAT ]
[2011.03.09 17:16:00 | 000,171,417 | ---- | C] (Daniel Pistelli) -- C:\Dokumente und Einstellungen\Theresa\Startmenü\Programme\Autostart\yblwdrbn.exe
[2011.03.09 16:53:34 | 000,000,000 | ---D | C] -- C:\Programme\tmp
[2011.03.09 16:53:15 | 000,171,417 | --S- | C] (Daniel Pistelli) -- C:\yblwdrbn.exe
[2011.03.09 16:53:15 | 000,000,000 | ---D | C] -- C:\Programme\quthsrrw
[2011.03.17 11:14:33 | 000,171,417 | ---- | C] (Daniel Pistelli) -- C:\WINDOWS\Explorermgr.exe
[2011.03.12 16:13:34 | 000,000,000 | ---D | C] -- C:\Programme\temp
[2010.03.31 23:33:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.09.14 16:33:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.07.23 04:37:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\AUTOEXEC.BAT not found.
File E:\autorun.inf not found.
File move failed. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\yblwdrbn.exe scheduled to be moved on reboot.
C:\Programme\tmp folder moved successfully.
File move failed. C:\yblwdrbn.exe scheduled to be moved on reboot.
C:\Programme\quthsrrw folder moved successfully.
C:\WINDOWS\Explorermgr.exe moved successfully.
C:\Programme\temp folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 3740465 bytes
->Flash cache emptied: 405 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 89528396 bytes
->Java cache emptied: 26 bytes
->Flash cache emptied: 27338 bytes

User: ***
->Temp folder emptied: 739600010 bytes
->Temporary Internet Files folder emptied: 4180246680 bytes
->Java cache emptied: 59456222 bytes
->FireFox cache emptied: 89646044 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 145935 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1158182 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 218765799 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5.133,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03182011_162958

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\yblwdrbn.exe moved successfully.
C:\yblwdrbn.exe moved successfully.

Registry entries deleted on Reboot...




---------------------------------------
Der Computer hat sich neu gestartet, bin jetzt immernoch im abgesichten Modus. Es wäre sehr nett wenn du (?) sagen könntest wann ich wieder in den Normalen gehen kann. Da ich das schon einmal zur falschen Zeit gemacht habe, bin ich dementsprechend ein bisschen ängstlich.

Dankeschön

Dann bitte jetzt CF ausführen, im normalen Modus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Problem ist, dass ich mitlweile keinen meiner Internetbrowser öffnen kann und somit den CCleaner nicht runterladen kann.
Combofix habe ich über eine USB Stick auf meinen Pc gebracht.

Außerdem erscheinen nur Virusmeldungen von AntiVir sobald ich den Pc im normalen Modus hochfahre. Ich hab versucht AntiVir über den Taskmanager und auch über Systemkonfiguration zu beenden, allerdings hat das nichts geändert und die Meldungen erscheinen immernoch und immer wieder.

Gibt es eine Möglichkeit wie ich die beschriebenen Schritte trotzdem ausführen könnte? Beziehungsweise diese Probleme umgehen kann?

Dankeschön.

Lass den CCleaner einfach weg.

Hab jetzt angefangen ComboFix laufen zu lassen und vorher auch Antivir und Firewall ausgestellt. Nun musste wohl ein Programm zur Systemwiederherstellung runtergeladen werden was das Programm auch selbstständig gemacht hat nachdem man dem zugestimmt hatte. Dann hat sich jedoch der Pc neu gestartet. Seitdem laeuft AntiVir Guard wieder, der Explorer hat sich jedoch nicht gestartet. ComboFix ist wieder automatisch gestartet.

Jetzt steht im ComboFix Fenster allerdings seit über einer Stunde dass nach infizierten Dateien gesucht wird und dies eigentlich nicht laenger als 10 Minuten dauern soll.
Soll ich einfach weiterhin nichts tun oder eventuell nochmal von vorne anfangen.

Tut mir Leid dass ich solche Fragen stelle, ich will es nur gerne so richtig wie möglich machen.

Warte noch etwas ab.

Ich muss gleich zur Arbeit und bin gegen 23Uhr wieder da. Wenn dann immer noch nichts passier ist, soll ich dann nochmal von vorne anfangen? Also Pc aus, neu starten und dann nochmal von vorn?

Vielen Dank.

Ja, dann aber neustarten und die cofi.exe neu runterladen. die alte cofi.exe vorher löschen.

So, ich hab es jetzt auch endlich geschafft.
Der zweite Laptop hat kurzzeitig auch nicht mehr funktioniert, deshalb hab ich es erst heute geschafft alles nochmal zu machen. Dieses Mal hat es auch geklappt.

Im Anhang dann der Log.