Trojan.Win32.Yakes.cmpu und not-a-virus:RemoteAdmin.Win32.WinVNC.mx durch Kasperky gefunden - Vorgehen?
 

:glaskugel2:Am 14.3. hat Kasperky durch einen Routine-Check folgende Funde hervorgebracht:

Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (3)
not-a-virus:RemoteAdmin.Win32.WinVNC.mx Nicht gefunden 14.03.2013 22:25:52 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0004
not-a-virus:RemoteAdmin.Win32.WinVNC.ad Nicht gefunden 14.03.2013 22:25:51 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0000
not-a-virus:RemoteAdmin.Win32.WinVNC.ad Nicht gefunden 14.03.2013 22:25:51 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0001
Typ: trojanisches Programm (1)
Trojan.Win32.Yakes.cmpu Gelöscht 14.03.2013 21:54:37 c:\dokumente und einstellungen\user\desktop\xxx ihre nicht beglichene rechnung vom 27.02.2013.zip//Kopie der Rechnung xxx.zip//Rechnung - Mahnung 27.02.2013.zip// Rechnung - Mahnung 27.02.2013.com
Typ: Unbekannt (1)
xxx ihre nicht beglichene rechnung vom 27.02.2013.zip Gelöscht 14.03.2013 21:54:37 c:\dokumente und einstellungen\user\desktop\ xxx ihre nicht beglichene rechnung vom 27.02.2013.zip

Kaspersky scheint diese gelöscht zu haben.
Dannach (19.3. inzwischen war ich nicht da.) habe ich eine Boot-CD von Kaspersky erstellt, die Boot-Reihenfolge geändert und von CD gebootet sowie einen vollständigen Check durchgeführt. Keine Funde.

Gestern (21.3.) hat der Rechner wieder Probleme gemacht. Das D-Laufwerk hatte sich schon vor einem Monat verabschiedet (Festplattencrash) und musste vor einem Monat mit professioneller Hilfe (KrollOntrack) wiederhergestellt. (Neue Festplatt ist nun verbaut). Nun vermute ich, dass sich entweder das C-Laufwerk mit einem Crash ankündigt oder der Virus doch noch aktiv ist.

Folgende Symptome:
1) Das System hatte scheinbar beim Hochfahren einen Fehler und es erschien die Auswahl:
Windows im abgesichtern Modus starten
.
.
Windows mit der letzten funktionierenden Konfiguration starten
Window normal starten
-> Ich hatte dann die letzte funktionierende Konfiguration ausgewählt.
2) Der Task-Manager lässt sich teilweise nicht mehr öffnen (direkt nach dem Neustart, geht's allerdings).
3) Auch wenn ich kaum Programme geöffnet habe, kommt dann folgende Fehlermeldung: Windows - Fehler in der Anwendung " Die Anwendung konnte nicht richtig initialisiert werden (0xc0000017). Klicken Sie auf "ok" um die Anwendung zu beenden." Es gibt nur den OK Button.
4) Die Maus friert ein.

Eine Datensicherung besteht von KrollOntrack Wiederherstellung, Memeo Backup und von Acronis. Acronis ist bestellt und es soll dann nochmals ein Image und eine Datensicherung gezogen werden. Wichtig sind mir nur meine Daten. Der Rechner ist alt und soll innerhalb des kommenden Monats komplett ersetzt werden. Bis dahin brauche ich allerdings den Rechner und muss arbeitsfähig bleiben können. Zur Info: Ich bin Privatanwender, hatte für KrollOntrack aus privaten Gründen das Geld hingeblättert. Anstonsten habe ich nur wenig Ahnung von IT und habe manchmal Hilfe durch einen erfahrenen Experten mittels Teamviewer.

Meine Fragen:
a) Habe ich einen Verschlüsselungstrojaner noch drauf?
b) Kann ich weiterarbeiten?
c) Hält mein System noch einen Monat durch bis der neue Rechner da ist?


Habe nun die Log Dateien erstellt.
Highjackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:33:20, on 21.03.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\SearchProtect\bin\CltMngSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Memeo\AutoBackup\MemeoBackgroundService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\SyncAgent\syncagentsrv.exe
C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe
C:\Programme\TeamViewer\Version6\TeamViewer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\QuickTime\QTTask.exe
C:\Dokumente und Einstellungen\USER\Anwendungsdaten\SearchProtect\bin\cltmng.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\TibMounter\TibMounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Seagate\Seagate Dashboard\MemeoDashboard.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Apps\2.0\BJX8QJBP.M97\9LMJQ2V9.NT4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe
C:\Programme\Memeo\AutoBackup\InstantBackup.exe
C:\Programme\Memeo\AutoBackup\MemeoUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Seagate\Seagate Dashboard\HipServAgent\HipServAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\USER\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.telekom.at/suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SearchProtectAll] C:\Programme\SearchProtect\bin\cltmng.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [AcronisTibMounterMonitor] C:\Programme\Gemeinsame Dateien\Acronis\TibMounter\TibMounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Memeo Instant Backup] C:\Programme\Memeo\AutoBackup\MemeoLauncher2.exe --silent --no_ui
O4 - HKLM\..\Run: [Seagate Dashboard] C:\Programme\Seagate\Seagate Dashboard\MemeoLauncher.exe --silent --no_ui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVMUSBFernanschluss] "C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Apps\2.0\BJX8QJBP.M97\9LMJQ2V9.NT4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\AVMAutoStart.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [SearchProtect] C:\Dokumente und Einstellungen\USER\Anwendungsdaten\SearchProtect\bin\cltmng.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Virtuelle Tastatur - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Links untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156415092656
O16 - DPF: {6D868B99-8B01-4B25-9BD1-ED37AFDF5E29} (Ontrack Data Recovery Verifile Data Reports) - hxxp://www.krollontrack.co.uk/support/ontrack-verifile-report/npvfasp.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1361252403953
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} (CeWe Color AG & Co. OHG Control) - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Acronis Nonstop Backup Service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe
O23 - Service: Search Protect by Conduit Updater (CltMngSvc) - Conduit - C:\Programme\SearchProtect\bin\CltMngSvc.exe
O23 - Service: Google Update Service (gupdate1c9ef90cb9d602c) (gupdate1c9ef90cb9d602c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: MemeoBackgroundService - Memeo - C:\Programme\Memeo\AutoBackup\MemeoBackgroundService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Seagate Dashboard Service (SeagateDashboardService) - Memeo - C:\Programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: Acronis Sync Agent Service (syncagentsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\SyncAgent\syncagentsrv.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe

--
End of file - 14121 bytes

Defogger:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:53 on 21/03/2013 (USER)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


OTL.txt, Extras.txt und Gmer Logfile:

im Anhang als Zip


Info: Gmer hat fast 12h zum Durchlaufen gebraucht und danach ist die Maus wieder eingefroren und Task-Manager konnte nicht geöffnet werden, Windows Fehlermeldung tauchte wieder auf und Rechner musste mittels Not-Aus runtergefahren werden. Alles andere hat nicht funktioniert.

Vielen Dank für die Hilfe und die Beantwortung der Fragen vorab.

Hallo,

Hast du diese Meldung mal genauer gelesen? Denn es heißt ja auch Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (3)

Hattest du mal VNC installiert? Das ist sowas wie Teamviewer

Hast du diese Datei ausgeführt oder nur die ZIP geöffnet? Oder vllt nur die ZIP auf den Desktop gelegt und sonst nix weiter?

Nein, ich habe den Teamviewer, aber nicht VNC installiert. und Ja ich habe obiges sehr genau gelesen. Aber die Installation des Programms und der Fund fand am gleichen Tag statt wie der Fund des Trojaners. Das macht mich halt unsicher.




Zip auf dem Desktop gelegt und 2 x geöffnet.
Also bei ersten Mal war wieder eine Zip Datein drin, dann habe ich dummerweise nochmals draufgedrückt und diese Zip-Datei öffnen wollen und es war noch ein Zip da drin. Das habe ich aber nicht mehr geöffnet, da es mir zu suspekt erschien. Dann eben den Viruscheck durchlaufen lassen und obiges gefunden.

Hilft das weiter? Vielen Dank schon mal im voraus.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten


MBAR (Malwarebytes Anti-Rootkit)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Fehlermeldung mbar.exe bevor die Software eigentlich gestartet war, aber nach
Doppelklick auf die Anwendung:
Registry Value " AppInit_Dlls" has been found, wich may be caused by a rootkit activity.
Note: press "No" button if your are not sure. If the tool crashes or terminates unexpectedly during a system scan , restart the tool and press "yes" should this message appear again.

Do you want to remove this value and restart the tool?
"yes" " no"

Ich habe no gedrückt, weil ich aus dem Program raus wollte und unsicher war.

bitte auf nein klicken und normal weitermachen

1. Durchlauf

2. Durchlauf

Ok, was st mit den anderen Logs?

Bevor ich antworten konnte " Der Scan ist noch am laufen" hat es Fehlermeldungen gegeben und der Rechner war nicht mehr zu bedienen und musste runtergefahren werden. Näheres kommt gleich.

Ausserdem habe ich meine eigene Arbeit und 2 kranke Kinder. Da bin ich derzeit nicht die schnellste, sorry. Mache schon Nachtschichten bis 2 Uhr und muss morgends um 6 wieder raus. Da bin ich momentan etwas langsamer. Es ist gerade überall der Virus drin, glaub ich.

Also der Scan war zuletzt noch am Laufen. Dann musste ich kurz weg. Als ich wieder kam, war Firefox weg, Word, weg und Skype da und 3 Fehlermeldungen. Ausserdem konnte ich kein Programm mehr öffnen und die Programmliste war nahezu leer.

Fehlermeldung 1) Microsoft Visual C++ Debug Library
Debug Error!
Programm: ...d60_0002.00003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
(Please retry to debug this application)
Abbrechen Wiederholen Ignorieren

Fehlermeldung 2):Application Error
Exception EOSError in module Skype.exe at 001F60D
System Error. code 8.
ok

Fehlermeldung 3): Application Error
Exception EoutofRessources in module Skype.exe at 005F0C0
Out of system Ressources.
ok

Ich wollte dann mit dem Screenshot das ganze festhalten, aber da war kein Programm mehr und eine Neue Fehlermeldung kam:

Fehlermeldung 4): Windows Fehler in der Anwendung
Die Anwendung konnte nicht richtig initialisiert werden (0xc0000017) Klicken Sie auf O k um die Anwendung zu beeenden.
ok

Lasse nun den aswMBR nochmals durchlaufen. Kann aber dauern.

Ach ja, im Task Manager konnte ich sehen, dass cltmng.exe die ganzen ressourcen gezogen hat.

Wie weit bist du nun mit den Logs?

Bevor der aswMBR durch ist scheint der Rechner immer neu zu starten und ich kann keinen log sichern. Ich werde nun nochmals einen Versuch wagen und die Internetverbindung dabei kappen und hoffe dass ich damit Erfolg habe. Könnte ggf. auch im abgesicherten Modus den Scan versuchen.
Der cltmng.exe zieht immer viel Ressourcen ab. Keine Ahnung was für ein Programm das ist und was der macht oder ob es damit zusammenhängt.

Bis später.

Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Bitte die Anleitungen sorgfältiger lesen und umsetzen; du hast den tdsskiller falsch eingestellt, bitte nochmal richtig machen

Lieber Cosinus,

ich bin absolut überzeugt davon, dass ihr hier tolle und fantastische Hilfe leistet. Und dafüpr bin nicht nur ich, sondern auch viele andere sicher sehr dankbar.
Aber ich denke, auch ich darf einen respektvollen Umgang erwarten. "Bitte die Anleitungen sorgfältiger lesen und umsetzen;" Mir hier nicht sorgfältige Arbeit zu unterstellen, finde ich ganz ehrlich gesagt abwertend. Ich arbeite hier so gut ich kann und versuche alles umzusetzen. Da ich sehr weit weg von einem IT Experten bin und für fast jeden Schritt weitere Hilfe brauche um es korrekt umzusetzen, ist das nicht ganz einfach. Da kann es jedem passieren, das mal etwas übersehen wird. Ich habe die letzen 3 Nächte pro Nacht nicht mehr als 4h geschlafen und ich bin auch nur ein Mensch und keine Maschine.

Die Logs vom TDSKiller werden leider nicht erstellt, ich muss alles manuel machen.

Gibt es denn schon mal eine Aussage dazu ob mein Rechner infiziert ist oder nicht.
Danke dir aber für deine Hilfe schon mal vorab.