Hallo,

hab gestern den Laptop einer Freundin repariert und dabei nicht aufgepasst und mir ueber meine externe Festplatte einen Virus eingefangen.
Mein AntiVir meldet dauernd Virenfunde und nach der Behebung erscheinen einfach wieder die gleichen Meldungen. Hinzu kommt, dass auf einmal Verknüpfungen erstellt wurden und manche Ordner versteckt wurden (sehe sie, da ich versteckte Dateien auf anzeigen habe).

Ich wuerde mich ueber eure Hilfe sehr freuen, habe bisher folgendes unternommen:

1. Antivir Scan externe Festplatte
2. Antivir Scan alle Festplatten im Laptop
3. Versuch alle gefundenen Viren zu löschen mit Antivir

Hier ist noch das Logfile (hab es mal angehaengt, hoffe das funktioniert hier so):

Vielen Dank schonmal für eure Mühe und würde mich sehr freuen, wenn mir jemand helfen kann und zwar so, dass ich nicht neu aufspielen muss : )

Hallo und

1.) über die Systemsteuerung die automatische Wiedergabe auf ALLEN Laufwerken deaktivieren => Einstellungen für automatische Wiedergabe ändern

2.) Schließe die ext. Platte mit dem Autorun-Schädling an

3.) Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Alle Festplattenlaufwerke anhaken!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!


Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

4.) Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

So erstmal danke, dass du mir hilfst! Und hab jetzt mal einiges gemacht. Gestern habe ich noch alle Dateien im Savemodus gelöscht (also diese Verknuepfungen), dann mitm CCCleaner in der regedit alles gesaeubert und dann nochmal avira drueber laufen lassen!

So jetzt habe ich malware drueber gejagt:



Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6317

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.04.2011 10:02:16
mbam-log-2011-04-09 (10-02-16).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165400
Laufzeit: 2 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer (Trojan.Agent) -> Value: Explorer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



und hier ist jetzt OTL:

(sollte im Anhang sein)

hoffe das hilft : ) und du kannst mir helfen!
THX

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

So,

hab bei malware nur den einen neuen log hier: aber im Moment sieht es so aus, als wenn meine Massnahme gewirkt haetten. Ich wüsste nun aber gerne ob der Virus wirklich weg ist, da mein Avira nichts mehr meldet ... oder ob er sich nur gut versteckt.

Gruß Ansgar


ps: bin gerade in china und daher kommen meine antworten immer zu komischen zeiten und manchmal sehr spaet

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com

Deine Erklärung für diese Einträge in der Hosts-Datei?
Aus welcher Quelle stammt das installierte AdobeCS5?

Hi sollte das ein Problem sein? Bin hier in China .. einiges meiner Software kommt von hier.

Du setzt also wissentlich "geklaute"/gecrackte Software ein?

Ich benutze die Software die ich in China bekommen kann ^^ aber das ganze ist fuer mich auch ein anderes Thema und hat relativ wenig mit dem Virus auf meinem Rechner zu tun .. denke ich wenigstens! Und bevor man ueber Leute urteilt oder Annahmen trifft sollte man lieber die Situation kennen. ^^

Zitat:

aber das ganze ist fuer mich auch ein anderes Thema und hat relativ wenig mit dem Virus auf meinem Rechner zu tun

Nein, das ist ein Irrtum. Es ist eigentlich hinlänglich bekannt, dass gecrackte Software Schadcode aller Art enthalten kann, daher niemals vertrauenswürdig ist. => http://www.trojaner-board.de/95393-c...-software.html

Zitat:

Wenn Du den Crack startest, startest du eine ausführbare Datei aus einer sehr dubiosen Quelle. Im Quellcode der Datei kann alles mögliche stehen. ( z.B downloaden und ausführen von Malware Dateien )
Dies ist einer der Hauptgründe wie man sich infiziert.

hmm ok dann irre ich mich : ) .. problem bleibt bestehen ich komme hier in china nur extrem schwer an originale software ran .. wobei ich hier 100% sagen kann, dass die software die ich in china bekomme keine viren enthaelt, da sie von meinem unternehmen kommt. Hmmm, mich würde jetzt immer noch interessieren, ob der Virus wirklich weg ist.

Weil du in China bis mach ich mal ne Ausnahme *hust*


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..network.proxy.http: "165.228.132.10:3128"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.no_proxies_on: "google.com"
FF - prefs.js..network.proxy.type: 0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
O4:64bit: - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.09 09:13:28 | 000,000,000 | ---D | M] - G:\autorun -- [ NTFS ]
O33 - MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\Shell - "" = AutoRun
O33 - MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\Shell - "" = AutoRun
O33 - MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\Shell\AutoRun\command - "" = F:\AutoRunCD.exe
[2011.03.12 21:03:10 | 000,067,312 | ---- | C] (Just Great Software) -- C:\Windows\UnDeployV.exe
[2011.03.12 12:29:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ÖйúÒøÐÐÍøÉÏÒøÐа²È«¿Ø¼þ
@Alternate Data Stream - 229 bytes -> C:\ProgramData\Temp:8FF81EB0
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So, erstmal vielen vielen vielen Dank für die ganze Hilfe!!!
Habe alles ausgeführt und folgende Log-File bekommen. Hab vor dem Rechner Neustart auf "OK" geklickt.

Die Log-File ist angehaengt. Achja seit dem Virus bekomme ich auch noch eine Fehlermeldung: Die Skriptdatei "c:\users\esca\documents\database.mdb" wurde nicht gefunden.

Kein Log zu sehen

Hi,

kann die Datei nicht hochladen. Daher jetzt hier so (Danke nochmal!!!):



All processes killed
========== OTL ==========
Prefs.js: "165.228.132.10:3128" removed from network.proxy.http
Prefs.js: 80 removed from network.proxy.http_port
Prefs.js: "google.com" removed from network.proxy.no_proxies_on
Prefs.js: 0 removed from network.proxy.type
Prefs.js: engine@conduit.com:3.3.3.2 removed from extensions.enabledItems
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
File G:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
File F:\AutoRunCD.exe not found.
C:\Windows\UnDeployV.exe moved successfully.
C:\Program Files (x86)\ÖйúÒøÐÐÍøÉÏÒøÐа²È«¿Ø¼þ folder moved successfully.
ADS C:\ProgramData\Temp:8FF81EB0 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: esca
->Temp folder emptied: 198953061 bytes
->Temporary Internet Files folder emptied: 163529186 bytes
->Java cache emptied: 8970523 bytes
->FireFox cache emptied: 112078658 bytes
->Flash cache emptied: 1077608 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 539950 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 463,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04112011_224213

Files\Folders moved on Reboot...
C:\Users\esca\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...