Guten Tage,

seit gestern habe ich einen/einige Trojaner auf den PC den ich nicht mehr wegbekommen. Es kommt ständig eine Anzeige in der folgendes steht:



Außerdem hat Antivir einige Trojaner entdeckt, die sich aber nicht komplett löschen ließen. tr.dropper.gen war auch dabei. Danach habe ich dann gegooglet und bin hier gelandet. In einigen Threads stand, dass man Malwarebytes mal durchlaufen lassen sollte. Dies habe ich gemacht und es wurden 19 Sachen/Trojaner gefunden. Hier ist das Ergebnis.

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6587

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

16.05.2011 09:32:43
mbam-log-2011-05-16 (09-32-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 271100
Laufzeit: 2 Stunde(n), 10 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
c:\Windows\Temp\Qng.exe (Trojan.Downloader) -> 3368 -> Unloaded process successfully.
c:\Windows\Temp\Qni.exe (Trojan.Downloader) -> 976 -> Unloaded process successfully.
c:\Windows\Temp\Qnh.exe (Trojan.Downloader) -> 5544 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\Users\dr leupold\AppData\Local\KBDMFrae.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\Users\dr leupold\AppData\Local\oqijisec.dll (Trojan.Agent.U) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Amasigereciyoz (Trojan.Hiloti.Gen) -> Value: Amasigereciyoz -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.Downloader) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8 (Trojan.Downloader) -> Value: R8388QA8U8 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Qlaxazop (Trojan.Agent.U) -> Value: Qlaxazop -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\dr leupold\AppData\Local\KBDMFrae.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\Windows\Temp\Qng.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Qni.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Qnh.exe (Trojan.Downloader) -> Delete on reboot.
c:\Users\dr leupold\AppData\Local\Temp\93B1.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\dr leupold\AppData\Local\Temp\cxnewsrmoa.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\dr leupold\AppData\Local\oqijisec.dll (Trojan.Agent.U) -> Delete on reboot.

Es ließen sich auch hier nicht alles löschen, also habe ich nochmal einen schnelldurchlauf gemacht mit diesem ergebnis

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6587

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

16.05.2011 09:55:35
mbam-log-2011-05-16 (09-55-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144440
Laufzeit: 13 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\Users\dr leupold\AppData\Local\oqijisec.dll (Trojan.Agent.U) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Qlaxazop (Trojan.Agent.U) -> Value: Qlaxazop -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\dr leupold\AppData\Local\oqijisec.dll (Trojan.Agent.U) -> Quarantined and deleted successfully.

Nun stellt sich die Frage wie ich weiter vorgehen soll. Ich muss dazu sagen, dass ich nicht sehr viel Ahnung von PCs habe. Bei einer möglichen Antwort wäre es nett dies zu berücksichtigen

Ich freue mich auf eine Antwort und bedanke mich dafür schon mal.

hallo,
betreibst du onlinebanking oder einkäufe oder sonst was wichtiges mit diesem pc?

hab diesen pc zum glück erst seit 2 wochen, da mein anderer kaputt ist. aber ansich benutze ich online banking. sollte ich das jetzt nicht mehr tun? besteht da irgendeine gefahr? und wie bekomme ich den virus/trojaner weg?

ich habe jetzt sehr oft malware, antivir usw durchlaufen lassen und fast jedes mal wird was neues gefunden. der pc scheint also ziemlich verseucht zu sein. Laufen tut er aber normal, es öffnet sich nur ab und zu ein neues fenster bei firefox.

Die Meldung die ich im ersten Post angezeigt habe, kommt zum glück nicht mehr. habe gerade malware nochmal ein paar minuten durchlaufen lassen, noch nicht mal komplett (mache ich gerade), nur um zu schauen ob er was findet. Nach 2 Minuten hatte er direkt wieder 2 treffer. Ich poste das mal, vielleicht könnt ihr damit was anfangen

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6588

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.05.2011 09:41:42
mbam-log-2011-05-18 (09-41-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 2723
Laufzeit: 2 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\Windows\Temp\ntua\setup.exe (Spyware.Passwords.XGen) -> 1408 -> Unloaded process successfully.
c:\Windows\Temp\ntua\setup.exe (Spyware.Passwords.XGen) -> 2452 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Temp\ntua\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.

das hättest du dir alles sparen können, hättest du erst mal meine frage beantwortet.
dieses gerät muss formatiert und neu aufgesetzt werden, dieses system ist vorher nicht mehr vertrauenswürdig.
dann zeige ich dir, falls du möchtest, wie du das system in zukunft richtig schützt, damit so was nicht mehr passiert.