Trojaner-Board - Trojan.Agent und Backdoor.Bot befall auf meinem Laptop

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojan.Agent und Backdoor.Bot befall auf meinem Laptop (https://www.trojaner-board.de/104874-trojan-agent-backdoor-bot-befall-meinem-laptop.html)

Trojan.Agent und Backdoor.Bot befall auf meinem Laptop

Hallo zusammen,

ich hatbe seit einiger Zeit das Problem, dass ich bei google oder ähnlichen Seiten immer auf Werbe bzw Pornoseiten weitergeleitet werde, wenn ich die Suchergebnisse anklicke.
Weiterhin ist mir aufgefallen das meint Avira keine updates mehr runterladen kann und ich auffällige Prozesse laufen habe wie zum bsp. lvvm.exe, ALU.exe, 0A985.exe, B4E.exe
Das hat mich etwas stutzig gemacht und ich habe mal seit etwas längerer zeit einen Komplettscan mit Avira durchgeführt (das Logfile habe ich leider nicht mehr).

Und in der Tat kam dabei heraus das mein Laptop mit Trojan.Agent und Backdoor.Bot Viren verseucht ist.
Das Erste mal habe ich mit Malewarebytes gescannt und alle funde gelöscht, danach bin ich aber nicht mehr ins Internet gekommen.
Dann habe ich mit der Systemwiederherstellung alles wiederhergestellt und dann ging es wieder.

Folgendes habe ich nun im Vorruas gemacht, nachdem ich hier im Forum etwas rumgestöbert habe:

-Defogger runtergeladen und Disbale ausgeführt
-Mit Malewarebytes einen quickscan aber noch keine aktion ausgeführt
-OTL runtergeladen und einen scan ausgeführt
-Nochmal einen Kompletten Systemscan mit dem ESET-Online Scanner und funde bereinigt
-Nochmal mit malewarebytes gescannt

aufgefallen dabei ist mir, das malewarebytes vor dem scan ca 22 funde gezeigt hat und nach dem bereinigen mir ESET nur noch 1 Fund.
Die merkwürdigen Prozesse laufen weiterhin und das problem besteht immer noch.

Logfiles sind im Anhang

Vielen Dank schonmal im Vorraus für die Hilfe

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

okay, hat zwar etwas länger gedauert aber hier ist das Logfile vom Komplettcan

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

ja hab ich jetzt nachgeholt, es tritt wieder das gleiche problem auf wie oben schon beschrieben,
wenn ich die dateien lösche komm ich nicht mehr ins internet,

bzw
internet explorer sagt das keine seite angezeigt werden kann
Firefox sagt das es probleme mit dem Proxy Server gibt

musste das system wiederherstellen um weitere Lösungsvorschläge einsehe zu können

okay das dürfte jetzt soweit funktionieren, ich mache jetzt wegen der systemwiederherstellung nochmal einen Vollscan mit Malewarebytes und OTL und lade die logfiles nochmal hoch

so hier jetzt nochmal die logs von Malwarebytes und OTL

Hab auch nochmal einen systemscan mit Avira gemacht.
Hier der Report

Du hast das letzte OTL-Log vor den Scans mit MBAM/AntiVir gemacht, d.h. das Log stellt nicht mehr den aktuellen Stand des Systems dar. Mach bitte ein neues:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

okay habe ich wie beschrieben ausgeführt

log im anhang

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

IE - HKLM\..\URLSearchHook:  - No CLSID value found

IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://asus.msn.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://plasmoo.com

IE - HKCU\..\URLSearchHook:  - No CLSID value found

IE - HKCU\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - No CLSID value found

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53879

FF - prefs.js..browser.search.defaultenginename: "Plasmoo"

FF - prefs.js..browser.search.defaultthis.engineName: "Plasmoo"

FF - prefs.js..browser.search.defaulturl: "http://plasmoo.com/index.htm?SearchMashine=true&amp;q={searchTerms}"

FF - prefs.js..extensions.enabledItems: engine@plasmoo.com:1.0.0.32

FF - prefs.js..keyword.URL: "http://plasmoo.com/index.htm?SearchMashine=true&q="

FF - prefs.js..network.proxy.no_proxies_on: ""

FF - prefs.js..network.proxy.type: 4

[2011/05/14 12:52:45 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\vptlpmfk.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2011/10/13 10:42:21 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\vptlpmfk.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}

[2011/05/14 12:52:50 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\vptlpmfk.default\extensions\engine@plasmoo.com

[2010/10/27 14:20:42 | 000,002,059 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\vptlpmfk.default\searchplugins\daemon-search.xml

[2011/11/01 18:14:54 | 000,000,950 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\vptlpmfk.default\searchplugins\icqplugin-1.xml

[2011/05/15 12:59:40 | 000,000,950 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\vptlpmfk.default\searchplugins\icqplugin-2.xml

[2011/04/18 00:27:39 | 000,001,056 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\vptlpmfk.default\searchplugins\icqplugin.xml

[2011/04/28 18:42:58 | 000,001,975 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\vptlpmfk.default\searchplugins\plasmoo.xm

O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{22e04f48-e2af-11df-b763-e0cb4e0a985e}\Shell - "" = AutoRun

O33 - MountPoints2\{22e04f48-e2af-11df-b763-e0cb4e0a985e}\Shell\AutoRun\command - "" = H:\autorun.exe

O33 - MountPoints2\{2b5210df-e1cd-11df-b3dc-e0cb4e0a985e}\Shell - "" = AutoRun

O33 - MountPoints2\{2b5210df-e1cd-11df-b3dc-e0cb4e0a985e}\Shell\AutoRun\command - "" = G:\autorun.exe

[2011/11/04 13:44:20 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\F4E7C

[2011/11/04 13:44:20 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\7C9B2

[2011/10/21 08:16:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LP

[2011/10/19 13:15:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\112F

[2011/10/11 13:27:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\5CBEA

[2011/10/11 12:33:51 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\F7A5C

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

okay OTL ist während des Vorgangs abgeschmiert bzw gab "keine Rückmeldung", hab ein paar minuten gewartet um zu gucken ob sich das wieder fängt, dann wollte ich das programm beenden -> Balckscreen

hab jetzt neu gestartet und folgendes Logfile hat sich nach dem starten göffnet

Code:

Files\Folders moved on Reboot...

C:\Users\Huhn\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 

Registry entries deleted on Reboot...

Du hast OTL auch per Rechtsklick als Administrator gestartet?

ja habe ich, bzw nach dem neustart war der bildschirm schwarz und es kam die m,eldung die kommt wenn man es nicht als administrator ausführt und ich konntenichts anderes machen, habe dann auf ausführen geklickt