WIN XP SP3: TR/Spy.Banker.Gen2 , TR/Offend.6943020, JS/Agent.ala.1 und andere
 

Hallo liebe Forumler,

wie schon oben beschrieben, habe ich mir einige Trojaner eingefangen. Nachdem hier im Forum schon verschiedene Lösungen, angefangen vom Neuaufsetzen bis hin zum erfolgreichen reparieren gefunden wurden, will ich meine Logs posten und hoffe auf eure Hilfe.

Der Rechner:
Win XP SP3
Avira Free Antivirus

Los ging alles vor einem Monat mit einem Trojaner der sich ins Java einschleicht. Damals waren auch die Mozilla Addons befallen. Mit Malwarebytes, dem löschen von Registries, Avira Scans und der Neuinstallation von JAVA in der neuesten Version, dachte ich das Problem gelöst zu haben. Leider hängt der TR/Spy.Banker.Gen2 ziemlich hartnäckig drinn.

Die Malwarebyte Logs habe ich leider nicht mehr, weil ich die Software damals wieder deinstalliert habe. Ich ging ja davon aus das ich das Problem los wäre.

Weil die Logs wohl zu groß sind, habe ich die im Anhang eingefügt.

Kann man das System noch retten?

p.s. Ich mache auf dem Notebook kein Onlinebanking aber nutze Ebay und Paypal.

Schau bitte nach ob die Logs noch in diesem Ordner sind

Hi Arne,

vielen Dank für deine schnelle Hilfe!

Leider ist da nichts mehr. Ich habe aber gerade bemerkt, dass ich damals mit Spybot S&D gesucht habe. Die Updates und .dll-Dateien liegen noch im Programmordner sonst jedoch nichts. In den Anwendungsdaten ist nichts hinterlegt.

Grüße, Vik

Weiß du noch noch in etwa was Malwarebytes gefunden hat?

Das war nicht übermäßig viel und kam mir eigentlich nicht wirklich dramatisch vor. Der Spybot hatte bei den Funden haupsächlich ungefährliche Einstuffungen vorgenommen.
Mein Eindruck war eher, das der JS/Agent.ala.1 und der TR/Spy.Farko.z das Problem waren.
Die wurden allerdings schon vom Avira ausgemerzt.

Würde es dir weiterhelfen wenn ich Malwarebytes nochmal drüber laufen lasse?

Ja mach ruhig nochmal einen neuen Vollscan mit Malwarebytes. Ans Update vorher denken.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne,

nun habe ich die Logs von Malwarebytes und ESET. Der Malwarebyte-Log sieht für mich als Laien ja schon irgendwie fies aus.

Gute Nacht :-)

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hi Arne,

hat jetzt leider ein wenig gedauert....

Hier die Logs nach Entfernung durch Malwarebytes. ESET habe ich nochmal scannen lassen.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, OTL ist drüber.

Hier der Log:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Erledigt! Hier der Log:

Was ist mit den gefixten Dateien? Soll ich die auf dem Rechner lassen, bis ich weiß ob alles funktioniert?

Untergebene Grüße,
Vik

Bitte nun (im normalen Modus!) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Normaler Modus bezieht sich auf Windows (d.h. nicht abgesichert)? Wenn ja, dann OK. Virenscanner waren aus.