Hallo,
ich habe mir gestern Abend leider einen Trojaner eingefangen.
Es handelt sich um den Windows7 Antwi- Virus. Dieser startet automatisch, wenn ich den Computer starte. Nach ein paar Minuten öffnet sich dann ein neues Fenster und mit wird angezeigt, dass sich ein anderer Computer per Remote zugeschaltet hat.

Ich habe schon einmal einen Virenscna mit Malewarebyte durchgeführt:

Zitat:

Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 20

Infizierte Speicherprozesse:
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\antivirus antispyware.exe (Rogue.AntiVirusAntiSpyware2011) -> 2240 -> Unloaded process successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\securitymanager.exe (Trojan.FakeAlert) -> 2216 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVirus_AntiSpyware_2011 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\AntiVirus_AntiSpyware_2011 (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntiVirus_AntiSpyware_2011 (Rogue.AntiVirusAntiSpyware2011) -> Value: AntiVirus_AntiSpyware_2011 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntiVirus AntiSpyware 2011 Security (Trojan.FakeAlert) -> Value: AntiVirus AntiSpyware 2011 Security -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\xxx\AppData\Roaming\42379122 (Rogue.Multiple) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011 (Rogue.AV) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011 (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\antivirus antispyware.exe (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\securitymanager.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Local\Temp\0.9049510574294725.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\42379122\3093000.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\securityhelper.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\Desktop\antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\internet explorer\quick launch\antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Local\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Local\Temp\w32rim_mem.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Local\Temp\wrfwe_di.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\42379122\101000.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\icoactivate.ico (Rogue.AV) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\IcoHelp.ico (Rogue.AV) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\IcoMain.ico (Rogue.AV) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\antivirus_antispyware_2011\icouninstall.ico (Rogue.AV) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011\activate antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011\antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011\help antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.
c:\Users\xxx\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus_antispyware_2011\how to activate antivirus_antispyware_2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> Quarantined and deleted successfully.

Danach habe ich dann OTL Durchgeführt



Jetzt weiß ich nicht mehr weiter und ich hoffe ihr könnt mir helfen

Danke schonmal im vorraus

bite xxx durch usernamen im script ersetzen sonst klappts nicht
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [WinWIOffice] C:\Users\xxx\AppData\Local\Bthmap32\WinWIOffice.dll ()
:Files
C:\Users\xxx\AppData\Local\Bthmap32
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

erstmal danke für die schnelle antwort

hier die Text Datei:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WinWIOffice deleted successfully.
C:\Users\xxx\AppData\Local\Bthmap32\WinWIOffice.dll moved successfully.
========== FILES ==========
C:\Users\xxx\AppData\Local\Bthmap32 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
User: xxx
->Flash cache emptied: 8802 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: xxx
->Temp folder emptied: 60748614 bytes
->Temporary Internet Files folder emptied: 49147954 bytes
->Java cache emptied: 506079 bytes
->FireFox cache emptied: 49717286 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32913412 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 184,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05082011_210733

Files\Folders moved on Reboot...
C:\Users\xxx\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
         

was hab ich geschrieben wos hochgeladen werden soll?
willst du das sich jemand der das läd mit deiner malware infiziert?
machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem pc?

soo
erstmal entschuldigung da war ich wohl etwas zu schnell....tut mir wirklich leid...

ich hoffe diesmal habe ich das richtig gemacht?
Ich nutze kein onlinebanking
aber teilweise einkäufe im Internet... und da ist auch meine Kontonr dann gespeichert...
allerdings weder Login Name noch das Passwort

hi,
1. onlinebanking sperren lassen!
2. da wir nicht sicher stellen können das das system sauber zu bekommen ist, musst du:
- daten sichern.
sichere bilder texte instalationsdateien etc. keine keygens cracks etc.
- formatieren und windows neu aufspielen.
danach sollten wir uns daran machen, dein system richtig abzusichern. da kann man nämlich einiges tun

ist es so schlimm?

ein glück ist mein windows grade mal 4 wochen alt...


ich bin dann soweit fertig ich habe es vor der installation mit dem standart windows formatier verfahren bei 7 formatiert reicht das aus?
oder gibts da noch mehr möglichkeiten=

naja schön ists auf jeden fall nicht.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für vista/windows 7abarbeiten.
anstelle des ie8 instaliere ie9
Internet Explorer - Microsoft Windows
zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten.
bitte
start suchen:
windows update
enter
bitte instaliere alle wichtigen und optionamen updates.
unter einstellungen so konfigurieren das updates automatisch geladen / instaliert werden.
anmerkungen meiner seits:

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
lies auch den abschnitt zum onlinebanking!!

hallo
erstmal dake für die hilfe mit dem trojaner
die programme zum thema sicherheit werde ich dann jetzt gleich installieren und mein browser einstellen.

es verbleiben dann aber noch erstmal drei kleine fragen
1. welche anderen möglichkeiten zur formatierung der festplatte gibt es? soll ich sonst nochmal windows neu installieren? oder reicht es so aus?

2. was hatte ich den jetzt genau drauf und hat der trojaner schäden angerichtet?

3. ich bin firefx user ist opera so viel sicherer? ich dachte immer firefox währe das sicherste... laut chip..

1. welche anderen möglichkeiten zur formatierung der festplatte gibt es? soll ich sonst nochmal windows neu installieren? oder reicht es so aus?
ja, wenn du formatiert hast reicht das aus.
du hattest eine art zbot trojaner, der hatts auf deine passwörter abgesehen, die alle endern.
wenn frage 2 auf hardware schäden abziehlt, nein da gibts keine :-)
3. ich bin firefx user ist opera so viel sicherer? ich dachte immer firefox wäre das sicherste... laut chip..
den sichersten browser gibts natürlich nicht. aber wenn man mal vergleicht wie viele sicherheitslücken jedes mal bei firefox geschlossen werden, ist der opera auf jeden fall sicherer.
das liegt auch daran, das er eine kleinere nutzerbasis hat als der ff und daher kein angriffsziehl ist, oder eher weniger als andere.
schau ihn dir halt mal an, wenn er dir gefällt, ok, falls nicht, wird die anleitung angepasst :-)

hallo markus
habet das jetzt alles berücksichtigt und opera getestet...
mir fällt bloss eine sache auf... ich habe irgendwie keinen flash player....
im explorer habe ich den...

und dann noch eine 2. letzte frage ist, ob durch die sicherheit der browser langsamer wird? --> Spiele ein Browser, wo man auf die millisekunde versucht zu timen...

sonst ist eig alles in ordnung und werde dann wohl bei opera bleiben

du meinst ob die sandbox den browser langsamer macht? denke ich nicht.
aber: versuch macht kluch.
flash player:
http://filepony.de/?q=Flash+Player
hast du alles aus der liste gemacht:
file hippo
secunia
uac sehop dep.
paragon?
autorun deaktiviert
gehe mal auf start ausführen
windows update
enter
instaliere optionale und wichtige updates.
unter einstellungen so konfigurieren das updates automatisch instaliert werden.
bitte passwörter endern nicht vergessen.