Hallo,

ich habe einen Trojaner auf der Festplatte.
Ich habe als Anhang die Log Datei beigefügt mit dem Programm OTL erstellt.

Ich habe den Trojaner erst entdeckt, als ich bei der Bank mich eingeloggt habe und nach den 20Tans gefragt wurde.

So jetzt habe ich mal Malwarebytes installiert und er hatte 2 entdeckt tojan.agent.
ich habe beide gelöscht und neu gestartet in der log datei steht dass es keine bösartigen spyware mehr gibt. hier die log dateien:
Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6204

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.03.2011 19:46:56
mbam-log-2011-03-29 (19-46-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144286
Laufzeit: 1 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Nettree (Trojan.Agent) -> Value: Nettree -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Besitzer\AppData\Roaming\Oleadv\codeclink.exe (Trojan.Agent) -> Quarantined and deleted successfully.

UND NACH DEM LÖSCHEN

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6204

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.03.2011 19:52:07
mbam-log-2011-03-29 (19-52-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143893
Laufzeit: 2 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So nach dem löschen alle txt dateien:
otl,extras,hijackthis,hjtscanlist,

ccleaner lass ich grad laufen.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hi,ich habe doch alle benötigten daten oben mitgeschickt?

Da war kein Vollscan bei und ich will einen Vollscan sehen.

Ok werde ich machen,danke.ich denke ich Krieg das bis morgen hin.

So jetzt hab ich einen vollscan gemacht und alle festpslatten ausgewählt,
im anhang der Bericht

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
O4 - HKU\S-1-5-21-51408536-2036295115-4232003117-1001..\Run: [Nettree] C:\Users\Besitzer\AppData\Roaming\Oleadv\codeclink.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.26 18:15:22 | 000,000,191 | ---- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{04cd6403-fad6-11de-b89c-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{04cd6403-fad6-11de-b89c-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Setup.exe
[2011.03.22 22:05:52 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar
[2011.03.29 18:59:49 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
:Files
C:\Users\Besitzer\AppData\Roaming\Oleadv
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

hi, danke dir für die schnelle hilfe, also nach der logfile zu beurteilen sieht das ganze gut aus. Sehe ich das richtig dass der trojaner über icq toolbar entstanden ist?!

All processes killed
========== OTL ==========
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Registry value HKEY_USERS\S-1-5-21-51408536-2036295115-4232003117-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Nettree not found.
File C:\Users\Besitzer\AppData\Roaming\Oleadv\codeclink.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
E:\autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04cd6403-fad6-11de-b89c-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04cd6403-fad6-11de-b89c-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04cd6403-fad6-11de-b89c-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04cd6403-fad6-11de-b89c-806e6f6e6963}\ not found.
File D:\Setup.exe not found.
C:\Programme\ICQ6Toolbar folder moved successfully.
C:\dvmexp.idx moved successfully.
========== FILES ==========
C:\Users\Besitzer\AppData\Roaming\Oleadv folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 600637 bytes
->Temporary Internet Files folder emptied: 50713451 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 40800474 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1048 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21888 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 88,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04012011_194528

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.