|
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Hallo, ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon. Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft bin. Plötzlich erschien auf dem gesamten Bildschirm ein Text von der angeblichen Bundespolizei, ich hätte einen von mehreren Gesetzesverstößen begangen, die dann aufgeführt wurden, teilweise mit Info, welches Strafmaß darauf steht, z.B. Nutzung von urheberrechtlich geschützten Inhalten, Download von verbotenen pornografischen Inhalten, oder mein Computer wurde ohne mein Wissen zum Versenden von Spams verwendet, und noch einiges andere. Es war eine IP-Adresse dargestellt, die meine sei, und es wurde gesagt, dass gerade meine Identität bestimmt würde und innerhalb der kommenden 72 Stunden ein Strafverfahren gegen mich angestrebt würde. Ich könne dies vermeiden, wenn ich innerhalb dieser Zeit 100 Euro mittels UCash-Verfahren oder einem anderen Verfahren, die dann beide erklärt wurden, zahlen würde. Ansonsten würde nach weiteren 72 Stunden ein Strafverfahren gestartet. Möglich sei diese 100-Euro-Regelung durch eine Gesetzesänderung von ca. Mitte August 2012 (habe den genauen Tag vergessen). Gleichzeitig wurde meine Screen-Kamera aktiviert, so dass ich mich in einem kleinen Kästchen auf dem Bildschirm sah. Habe diesen Trojaner-Screen leider nicht fotografiert. Da ich per W-Lan im Netz war, konnte ich kein LAN-Kabel ziehen und den Bildschirm nur durch Herunterfahren mittels Gedrückthalten der An-Taste verlassen. Nach erneutem Hochfahren konnte ich scheinbar normal auf Vista arbeiten, wenngleich ständig die Meldung kam „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“, doch sobald ich wieder Internetverbindung herstellte und den Internet Explorer öffnete, erschien wieder die Bundespolizei-Meldung und der Laptop war blockiert. Im Nachhinein habe ich festgestellt, dass ich nicht mehr im Abgesicherten Modus mit Eingabeaufforderung starten konnte, wohl aber im Abgesicherten Modus. Der Laptop ist übrigens in kein Netzwerk integriert. Habe dann mein täglich geupdatetes Avira Free Antivirus gestartet und eine Schnelle Systemprüfung auf C: ohne Administratorrechte durchgeführt. Ergebnis (da ich mich nicht traue, das logfile vom infizierten Rechner auf Datenträger zu kopieren oder mit dem infizierten Rechner wieder online zu gehen, damit er nicht womöglich Malware nachlädt, muss ich alle folgenden logfiles abtippen und beschränke mich auf das Nötigste und hoffentlich Relevante): … Beginne mit der Suche in ‘C:\Users\XXX’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Windows’ Beginne mit der Suche in ‘C:\Users\’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Program Files‘ Beginne mit der Desinfektion: C: \Users\XXX\Downloads\Downloads\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚569119be.qua‘ verschoben! C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚4e063619.qua‘ verschoben! Ende des Suchlaufs… … 4 Viren bzw. unerwünschte Programme wurden gefunden … 2 Dateien wurden in die Quarantäne verschoben … 8 Warnungen 2 Hinweise Mir fällt ein, dass ich die im logfile genannte Datei video_downloader.exe irgendwo ca. 3 Tage zuvor von serienjunkies.org runtergeladen und möglicherweise auch gestartet hatte, aber eben nicht erst kurz vor Auftauchen des Trojaners. Kurz nach Runterladen der Datei video_downloader.exe hatte avira auch mehrmals eine Meldung angezeigt, dass das Virus ‚Adware‘ gefunden worden sei, irgendwann gab es diese Meldung dann aber nicht mehr. Video_downloader.exe müsste ein download gewesen sein, zu dem ich aufgefordert wurde, als ich entweder nach Streams von Spartacus oder Games of Thrones gesucht habe – sollte ich den Admin von serienjunkies-org informieren? Sollte ich bei der Polizei Anzeige erstatten? Die Desinfektion durch avira hat nichts gebracht. Avira konnte ab dann auch nicht mehr updaten. Habe danach mit avira eine Vollständige Systemprüfung auf C: und D: durchgeführt und folgendes Ergebnis bekommen: … Beginne mit der Suche in ‘C:\‘ <BOOT> C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T/avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht Beginne mit der Suche in ‘D:\‘ <RECOVER> Beginne mit der Desinfektion: C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚56cd5a57.qua‘ verschoben! Ende des Suchlaufs… … 1 Viren bzw. unerwünschte Programme wurden gefunden … 1 Dateien wurden in die Quarantäne verschoben … 5 Warnungen 1 Hinweise Habe dann auf anderem Rechner gegoogelt und einige Infos über den UCash-Trojaner gefunden, aber nur überflogen. Bin dann auf euch gestoßen und habe entsprechend euren Anweisungen die folgenden Schritte unternommen, wobei ich die nötigen Programme davor auf CD gebrannt habe und von CD auf den infizierten Rechner kopiert und von dort gestartet habe: Habe Malwarebytes AntiMalware auf den infizierten Rechner gebracht. Da die Malware-Datenbank schon 40 Tage alt war, habe ich die rules.ref-Datei durch die aktuelle rules.ref-Datei ersetzt – dann ließ sich Malwarebytes aber nicht mehr starten und gab eine Fehlermeldung aus. Habe dann die 40 Tage alte Malwarebytes AntiMalware gestartet und danach einen Neustart gemacht. Hier ist das logfile: Malwarebytes Anti-Malware (Test) 1.62.0.1300 … Datenbank Version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NFTS Internet Explorer 9.0.8112.16421 Admin :: xxx-PC [Administrator] Schutz: Deaktiviert 12.08.2012 15:01:10 mbam-log-2012-08-12 (15-01-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\ID:\) Aktivierte Suchlaufeinstellungen: Speicher – Autostart –Registrierung – Dateisystem – Heuristiks/Extra – Heuristiks/Shuriken – PUP – PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 499669 Laufzeit: 1 Stunde, 38 Min … Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion/Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. … Infizierte Dateien: 1 C.\Program Files\vGrabber-software/‘Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Habe dann defogger gestartet entsprechend euren Anweisungen –ohne Fehlermeldung. Habe dann defogger geschlossen. Neustart. Fehlermeldung „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“ erhalten. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Habe dann OTL mehrfach gestartet, weil ich vergessen hatte, das System neu zu starten bzw. den Avira-Echtzeitscanner zu deaktivieren und Malwarebytes Protection zu disablen. Quick Scan durchgeführt. Das „Extras“-Scan-log ist allerdings nur beim ersten Starten von OTL erstellt worden… Meint ihr, ich kann es riskieren, die scan logs per USB-Stick auf einen anderen Rechner zu kopieren, oder riskiere ich dann eine Verseuchung des anderen Rechners? Ansonsten müsste ich die gesamten langen scan logs abtippen??? Oder soll ich schauen, ob ich inzwischen wieder ins Internet kann? Dann kann ich die scan logs vom infizierten Rechner aus posten…??? System neugestartet. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Dann gmer gestartet. Während des Scans Fehlermeldung „96jksucf.exe funktioniert nicht mehr“. Problemereignisname: APPCRASH Anwendungsname: 96jksucf.exe Anwendungsversion: 1.0.15.15641 Anwendungszeitstempel: 4e21f2b1 Fehlermodulname 96jksucf.exe Fehlermodulversion: 1.0.15.15641 Fehlermodulzeitstempel 4e21f2b1 Ausnahmecode c0000005 Ausnahmeoffset 0000c676 Betriebssystemversion 6.0.6002.2.2.0.768.3 Gebietsschema-ID 1031 Zusatzinformation 1: a76a Zusatzinformation 2: 5cf9039e0c8e4e0bf02ab3e23db0c4f0 Zusatzinformation 3: b114 Zusatzinformation 4: d9d01fee0875b74ac070be8d125aa4b2 Habe dann das Programm geschlossen. Was kann ich nun tun? Auf dem Rechner sind nur einige Office-Dokumente, Audios und Videos sowie Mails und Kontakte, die ich gerne retten würde und die auch problemlos geöffnet werden können. Danke im Voraus! |
Lass die Finger von solchen Portalen! Die Links zu den Filmen verweisen immer auf irgendwelche 1click Hoster, diese Angebote sind illegal und meistens ungeprüft! Zudem haben solche Portale meist die Nutzer in Abofallen laufen lassen und gerade solche standen schon vor Monaten in dem Verdacht, Malware zu verteilen zB über Exploits, die den Bundestrojaner bzw. deren Ableger auf verwundbare Rechner installiert! Poste bitte alle Logs von Malwarebytes vollständig und unzensiert Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Vielen Dank für deine Antwort, ja, man lernt wohl am besten durch Schmerz. Wie bekomme ich das log vom infizierten Rechner runter, ohne zu riskieren, andere Rechner zu infizieren, oder kann ich nach Ausführen von Malwarebytes wieder versuchen, mit dem Rechner online zu gehen? Danke! |
Ja mit dem Rechner ins Internet gehen, für eine Analyse/Bereinigung brauchen wir das eh |
Auch nach Durchlauf der 40-Tage alten Malwarebytes-Version ist der Trojaner noch drauf, wenn ich den Browser im normalen Modus starte...??? Der Trojaner hat sich nun verändert - nicht erst bei Browserstart, sondern schon bei Einloggen ins Internet wird er aktiv und blockiert alles. Wollte gerade im abgesicherten Modus mit Eingabeaufforderung starten - dabei Systemabsturz während des Bootvorgangs... Habe nun noch einmal einen fullscan mit Malwarebytes 1.62.0.1300 gemacht, ohne Befunde (und trotzdem ist der Trojaner ab Interneteinwahl aktiv). Wie gesagt, ist die rules.ref-Datei mittlerweile mehr als 40 Tage alt, ich kann sie aber nicht durch die aktuelle ersetzen, weil sich Malwarebytes dann nicht mehr starten lässt. Neustart im abgesicherten Modus mit Eingabeaufforderung hat eben gerade funktioniert, falls das hilft??? |
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
|
ja, danke! Schreibe gerade vom infizierten Rechner. Soll ich die aktualisierte Malwarebytes-Version runterladen und fullscan machen? Dauert über 1 Stunde. Hallo Cosinus, meine Antwort von eben taucht im Thread gar nicht auf? Die Antwort war ja. Habe jetzt die aktualisierte Malwarebytes ausgeführt, Quickscan, und 2 Trojaner gefunden und die 2 gefundenen Trojaner noch nicht entfernt. Hier das logfile: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300habe jetzt auch den vollständigen scan durchgeführt. Hier das logfile: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
ja, habe in den letzten Tagen mehrfach malwarebytes gestartet, und ich finde 6 log-Dateien im Reiter von malwarebytes, kann aber nicht mehr posten, weil ich mich vom infizierten Rechner aus scheinbar nicht mehr in euer Board einloggen kann. Schon bei Einwahl ins WLAN braucht der Rechner ca. 4-5 Versuche, bevor es klappt. Wenn ich mich dann im Trojaner-Board einlogge, kommt zwar der Wollkommensgruß, aber auf der Startseite ist dann kein Benutzername eingetragen (egal ob ich gerade mit einem anderen Rechner bei euch eingeloggt bin oder nicht). Wenn ich dann ein paar andere Links auf eurer Startseite klicke, bis irgendwo unten "Gehe zu Benutzerkontrollzentrum" anklickbar ist, komme ich darüber auf den normalen Startbildschirm mit Text "Willkommen, IamShine". Wenn ich dann in Meine Themen reingehe, zeigt er mir nur den Thread-Stand an, den ich hatte, direkt bevor ich den fullscan mit malwarebytes gemacht habe (letzter Beitrag 18:22 von cosinus), und ich kann darauf nicht direkt antworten, weil das securitytoken nicht mehr gültig ist (aber von einem sicheren Rechner aus, von dem aus ich jetztg schreibe, habe ich Zugriff auf den späteren Thread-Verlauf bis jetzt). Übrigens arbeite ich die ganze Zeit über nur aus dem abgesicherten Modus mit Netzwerktreibern heraus, soll ich es mal aus de´m normalen Modus probieren? Okay, 30 Min. später - lasse gerade ESET laufen. Weiß aber noch nicht, wie ich das ESET-log und die 6 malwarebytes-logs ins Forum bringen soll, da die Anmeldung nicht von dem Rechner aus klappt, auch nicht im normalen Windows-Modus, in dem ich jetzt bin, sondern immer auf dem Stand um ca. 18 Uhr ist, kurz bevor ich mit malwarebytes 2 Trojanerfiles gefunden habe...??? Die 6 malware-logs und das ESET-log hätte ich hier, ESET hat 7 Hits angezeigt, kann aber nicht vom infizierten Rechner ins Forum einloggen, um zu posten - soll ich mal von dem Rechner aus ein neues Thema eröffnen, um die logs darüber reinzustellen - das funktioniert nämlich, gerade probiert...? Komme jetzt übrigens wieder immer beim ersten Einwählen ins Internet. |
Bitte kein neues Thema aufmachen! Schieb die Logs auf einen Stick und dann postest du die Logs von einem funktionierenden Rechner aus |
danke. Hatte nur Angst, dass ich mir den nächsten Rechner infiziere. erstes protection log von malwarebytes: Code: 2012/08/12 11:56:01 +0200 GERRIT-PC Gerrit MESSAGE Starting protectionCode: Malwarebytes Anti-Malware (Trial) 1.62.0.1300Code: 2012/08/13 00:02:53 +0200 GERRIT-PC Gerrit MESSAGE Starting protectionCode: 2012/08/16 13:39:14 +0200 GERRIT-PC (null) MESSAGE Executing scheduled update: DailyCode: Malwarebytes Anti-Malware (Trial) 1.62.0.1300Code: 2012/08/17 22:54:56 +0200 GERRIT-PC Gerrit MESSAGE Starting protectionCode: 2012/08/18 01:37:39 +0200 GERRIT-PC Gerrit MESSAGE Starting protectionESET-log: Code: ESETSmartInstaller@High as CAB hook log:Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hallo cosinus, hier das adwcleaner-log: Code: # AdwCleaner v1.801 - Logfile created 08/19/2012 at 20:59:13 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Hier das log: Code: # AdwCleaner v1.801 - Logfile created 08/20/2012 at 23:15:34 |
Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Ja, normaler Modus geht mit einer Einschränkung (arbeite auch schon seit einiger Zeit in dem Modus): habe java 7 heute installiert via Systemsteuerung -> Programme und Funktionen, wollte 2 alte java-Versionen deinstallieren, hat aber nur bei einer geklappt. Bei der zweiten alten Version kam die Meldung: "Auf den Windows Installer Dienst konnte nicht zugegriffen werden. Dies kann auftreten, wenn der Installer Dienst nicht richtig installiert wurde. Wenden Sie sich an den Support...". Habe es bisher nicht geschafft, den Windosw Installer zu reparieren/neu zu installieren (habe Vista SP2)...??? Kann ich eigentlich ESET und Malwarebytes wieder deinstallieren? |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Hallo cosinus, hier das aktuelle OTL-log: OTL Logfile: Code: OTL logfile created on: 01.09.2012 10:51:04 - Run 5 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hier das OTL-fix-log. Habe rebooted, muss danach OTL neu starten, dann hat sich das log automatisch geöffnet: Code: All processes killed |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Hier das TDSS-Killer-log. Mausrechtsklick kopieren des Logs ging übrigens nicht, aber einfach mit Markieren und Ctrl-C: Code: 14:17:20.0326 3988 TDSS rootkit removing tool 2.8.8.0 Aug 24 2012 13:27:48 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hier das combo-fix-log: [code] Combofix Logfile: Code: ComboFix 12-08-31.08 - Admin 01.09.2012 15:27:38.1.2 - x86 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Hier das GMER-log: [code] GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.net...und das OSAM-log, da lustigerweise auf dem Desktop unsichtbar war, nur im OSAM-Fenster "Speichern unter" sichtbar, das aber beim 2. Durchlauf unter C: speicherbar und sichtbar war: Code: OSAM Logfile:Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST SoftwareCode: OSAM Logfile:...noch ein Versuch für das hier im thread unlesbar osam-log: Code: [Common] |
Da muss noch ein Registry-Key weg! Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":reg" muss mitkopiert werden!!!) Code: :regDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo cosinus, hier das OTL.fix-log: Code: All processes killed |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo cosinus, habe nun Firefox installiert und kann mich darüber wieder normal im Board anmelden,und sehe auch die aktuellen Einträge wieder... Hier das Log zu SUPERAntiSpyware, habe noch nichts gelöscht: Code: SUPERAntiSpyware Scan LogCode: Malwarebytes Anti-Malware 1.65.0.1400 |
Sieht ok aus, da wurden nur Cookies gefunden. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo cosinus, vielen, vielen Dank für deine Hilfe! Eure ehrenamtliche Hilfe ist echt Gold wert. Das einzige, was nicht funktioniert, aber wahrscheinlich gar nichts mit dem Trojaner zu tun hat, ist die Deinstallation der alten java-Version 6.7 von sun microsystems mit der Fehlermeldung, dass auf den Windows Installer-Dienst nicht zugegriffen werden kann. - Wäre das (bestenfalls) ein Thema für einen anderen Thread? Nochmals vielen Dank! |
Versuch es damit zu deinstallieren => http://filepony.de/download-revo_uninstaller/ |
Hallo cosinus, vielen Dank, hat geklappt, das System funktioniert einwandfrei. Fall erfolgreich gelöst! Weiter frohes Schaffen! |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks => Adobe Flash Player Distribution | Adobe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Vielen Dank, cosinus. Der Rechner schnurrt, habe alle "unsere" Programme deinstalliert außer Malwarebytes, das ich zusammen mit SuperAntiSpyware in Zukunft monatlich mal durchlaufen lassen will (SuperAntiSpyware deinstallier ich natürlich zwischendurch), Secunia ist drauf, habe alle Treiber zusätzlich einzeln (!!!) manuell auf Updates geprüft (weil ich spontan keine vertrauenswürdige Freeware gefunden habe, die das automatisch macht, aber hat sich nicht gelohnt, war alles noch aktuell), zusätzlich die Cleaning Suite von ASCOMP installiert, gedefragmented, den Adobe Reader ausgetauscht, den Firefox so eingestellt, dass alle Cookies beim Beenden gelöscht werden, zusätzlich manuell einiges Alte gelöscht, was der Cleaner drauf gelassen hat, sowie mit Vistas "Leisutngsinformationen und -tools" die Performance (leider nur etwas) verbessert) und in gleicher Weise einen anderen Rechner bearbietet, auf dem sich fast 1G an temporären Internetfiles getummelt hat (ca. 38.000 Files !!!)... Bin jetzt auf den Geschmack gekommen und werde noch weiter im Netz nach einfachen Tuningmöglichkeiten für Vista suchen und mir dabei hoffentlich keinen neuen Trojaner einfangen... Habe euch auch ein bisschen gespendet, danke nochmals! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board
