Guten Abend.

Ich habe mir ein Virus eingefangen, lt. Avira schreit er sich TR/Renos.ZZ. Bei Google fand ich allerdings nicht viel über ihn. Allerdings kam ich auf MalwareBytes, welches schon einige Objekte gelöscht hatte. In zwischen funktioniert die Dienstverwaltung schon, allerdings wird der Dienst Sicherheitscenter immer wieder deaktiviert. Auch beim Surfen mit dem Firefox werde ich immer wieder auf Werbeseite ab und zu weitergeleitet. Allerdings nicht, wenn ich mit dem IE ins Netz geh. Etv. liegt es daran, dass ich sämtliche Addons deaktviert habe. Im Firefox habe ich ebendsämtliche nicht bekannte Addons desinstalliert, bzw Plugins deaktviert.

OTL und Malwarebytes Logs habe ich wie hier beschreiben angehängt.

BS: Windows 7 x64

Ich hoffe, dass mir hier geholfen werden kann.

Danke im Vorraus
Single

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:0FF263E8

:Commands
[purity]
[emptytemp]
[resethosts]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

3.
Erneut ein OTL-Log erstellen und posten:-> OTL-Anleitung

4.
Rechtsklick auf den AntiVir-Schirm in der Taskleiste -> AntiVir starten -> Übersicht -> Ereignisse
jeden Fund markieren -> Rechtsklick auf Funde -> Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hallo

danke für die schnelle Antwort und die Hinweise.

Zu 4.

Allerdings vermisste ich hier ca. 10 Einträge, welche eine starke ähnlichkeit zu dem letztem hatten.

Der Virus seid dem Wochenende auf dem Rechner, die Datei war eine Art Toolbar/ViedoKonvertor. Allerdings kann ich die Datei nicht mehr auffinden, da sämtliche Listen gelöscht wurden.

Gruß

Schritt 4. bitte noch

Code: Alles auswählenAufklappen

ATTFilter

Typ:	Datei
Quelle:	G:\AP-KROEPKE\Backup Set 2011-04-29 200004\Backup Files 2011-05-13 210819\Backup files 1.zip
Status:	Verdächtig
Quarantäne-Objekt:	4aeae519.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.236
Virendefinitionsdatei:	7.11.08.41
Meldung:	Verdächtige Datei
Datum/Uhrzeit:	18.05.2011, 19:27


Typ:	Datei
Quelle:	C:\Users\[X]\AppData\Local\Mozilla\Firefox\Profiles\fej5y0vn.default\Cache\D6193906d01
Status:	Infiziert
Quarantäne-Objekt:	4bacc6ca.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.04.228
Virendefinitionsdatei:	7.11.08.29
Meldung:	Ist das Trojanische Pferd TR/Renos.ZZ
Datum/Uhrzeit:	16.05.2011, 20:06
         

1.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

2.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Problem besteht immer noch?

1.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/19/2011 at 10:31 AM

Application Version : 4.52.1000

Core Rules Database Version : 7086
Trace Rules Database Version: 4898

Scan type       : Complete Scan
Total Scan Time : 01:19:14

Memory items scanned      : 703
Memory threats detected   : 0
Registry items scanned    : 17771
Registry threats detected : 0
File items scanned        : 66091
File threats detected     : 2973

Trojan.Agent/Gen-Zbot
	C:\PROG\GEV\BRAINFORCE\GAT\DBCLIW32.DLL
	G:\SEAGATE BACKUP\AP-KROEPKE\C\PROG\GEV\BRAINFORCE\GAT\DBCLIW32.DLL

Trojan.Agent/Gen-Cryptor[Egun]
	C:\PROG\GEV\NAFI\NAFIBGR.EXE
	G:\SEAGATE BACKUP\AP-KROEPKE\C\PROG\GEV\NAFI\NAFIBGR.EXE

Trojan.Agent/Gen-Falcomp[RE]
	C:\WINDOWS\SYSWOW64\SPBCDG.DLL
         

Hinzu zufügen ist, dass NAFI eigentlich ein "Trusted" Programm ist, welche ich auch für meine Arbeit benötige.

Rest folgt.

3.

Code: Alles auswählenAufklappen

ATTFilter

C:\Inst\Nero9\Nero.exe	Win32/Toolbar.AskSBar Anwendung	gelöscht - in Quarantäne kopiert
C:\Sicherung\Eigene Dateien\Nero-6.6.1.15a.exe	Win32/Toolbar.AskSBar Anwendung	gelöscht - in Quarantäne kopiert
G:\AP-KROEPKE\Backup Set 2011-04-29 200004\Backup Files 2011-05-13 210819\Backup files 1.zip	Win32/TrojanDownloader.FakeAlert.BBT Trojaner	gelöscht - in Quarantäne kopiert
G:\Seagate Backup\AP-KROEPKE\C\Inst\Nero9\Nero.exe	Win32/Toolbar.AskSBar Anwendung	gelöscht - in Quarantäne kopiert
G:\Seagate Backup\AP-KROEPKE\C\Sicherung\Eigene Dateien\Nero-6.6.1.15a.exe	Win32/Toolbar.AskSBar Anwendung	gelöscht - in Quarantäne kopiert
G:\Seagate Backup\AP-KROEPKE\History\Level2\C\Program Files (x86)\Application Updater\ApplicationUpdater.exe	möglicherweise Variante von Win32/Adware.Toolbar.Dealio Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
G:\Seagate Backup\AP-KROEPKE\History\Level2\C\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe	Variante von Win32/Adware.Toolbar.Dealio Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
G:\Seagate Backup\AP-KROEPKE\History\Level2\C\Program Files (x86)\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll	Variante von Win32/Adware.Toolbar.Dealio Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
         

Zitat:

Zitat von Coverflow

► Problem besteht immer noch?

Nein.

Ich kann wieder normal surfen, keine Weiterleitungen mehr. Das Sicherheitscenter von Windows bleibt ebendfalls aktiv. (Dienst wurde bei aktiven Virus immer nach ~60 Sekunden gestoppt und deaktiviert)

War es das? Wie ich in anderen Themen gelesen habe, wollt ihr zu Sicherheit nochmal OTL + Bytes haben.

OTL Logs ab ich angehängt, Malware starte ich gleich.

Danke schonmal!

Was mir noch aufgefallen ist:

Es wird immer wieder im Laufwerk G:/ (Externe Festplate für Seagate Backup) eine autorun.inf mit leerem Inhalt erstellt. Immerwieder meldet dich Avria zu Wort und blockt diese.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6600

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

19.05.2011 21:19:46
mbam-log-2011-05-19 (21-19-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|)
Durchsuchte Objekte: 653685
Laufzeit: 1 Stunde(n), 32 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Zitat von Single

Was mir noch aufgefallen ist:

Es wird immer wieder im Laufwerk G:/ (Externe Festplate für Seagate Backup) eine autorun.inf mit leerem Inhalt erstellt. Immerwieder meldet dich Avria zu Wort und blockt diese.

schaue mal nach, ob bei "Autorun blockieren" ein Haken gesetzt ist?

aber...:
Man kann die AUTORUN-Funktion generell abschalten (empfohlen).►Anleitung
Da der Schadcode nutzt die AutoRun-Funktion von Windows-Betriebssystemen zum Infizieren!

1.
löschen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\Tasks\CJJEVLV.job
         

unter Start> Zubehör> Systemprogramme> Aufgabenplaner

2.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

Gesagt. Getan

Alles Im Grünen Bereich?

Zitat:

Zitat von Coverflow

Alles Im Grünen Bereich?

Alles okay. Nichts wird mehr deaktiviert. Kein Funde, keine ungewollten weiterleitungen mehr.

Herzlichen Dank!

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

CCleaner
         

2.
Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

4.
Um Internet Explorer 9 herunterzuladen klicke bitte hier:-> Microsoft Update hält Ihren Computer auf dem neuesten Stand[/B]! Wenn auch man ihn nicht verwenden möchte, gehört zur Quasi-Standard-Ausstattung unter Windows...

Lesestoff Nr.1:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Software immer auf dem neuesten Stand halten!:
  ALLE auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)
  Die fünf häufigsten Passwort-Fehler[/b[
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  Du hast die Wahl!, welche zusätzlichen Komponenten noch installiert werden sollen? -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars oder eventuell noch andere extra angebotene Programme möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Webseiten ohne Gültiges Impressum nicht besuchen
• Lizenzkosten sparen? - Vorsicht bei Dateien/Programmen aus nicht vertrauenswürdigen Quellen! - "full Keygen, Crack, Serial, Warez, keygenerators" etc.
  Sind immer verseucht mit diverse Malware/Schadprogramme/Code, es gibt keine seite wo Viren frei ist. (Man sollte nicht absitlich der Teufel holen) Eine weitere höchst unsichere Quelle ist das File-Sharing der sog. (Musik-)Tauschbörsen.
  ► Ausserdem machst Du dich damit strafbar!
• Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!
  Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !!

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen - Die auf dem Speichermedium gesicherten Daten sollten auch mit einbezogen werden!
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

Lesestoff Nr.2:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:

• Löschen der temporären Dateien in Windows
• Verlauf, Cache und Cookies: Spuren beseitigen nach dem Surfen
• hier nachlesen und hier microsoft.com
• Wenn dein System reibungslos läuft, kannst zeitweise die alte Wiederherstellungspunkte entfernen: -> Alle Systemwiederherstellungspunkte bis auf den Letzten löschen
• Oft den PC zu optimieren nütz wenig, der braucht jetzt eine Radikalkur (nach ca. 3-4 jahren, aber hängt von der Häufigkeit der Nutzung bzw Belastung ab): Anleitung: Neuaufsetzen des Systems + Absicherung
• Staub, Fingerabdrücke, Handschweiß – PC und Peripherie sehen mit der Zeit ganz schön eklig aus, ausserdem laut, reagiert langsam und wird schnell heiß:
  -> verschmutzte PCs sauber machen
  -> Frühjahrsputz für den PC: Tipps zur Reinigung und Entrümpelung

wünsch Dir alles Gute