Wiederkehrender Trojanerbefall via Temp Ordner
 

Hallo,

nachdem ich über 10 Jahre virenfrei war, habe ich seit gestern bereits das zweite Mal das gleiche Problem: Beim surfen meldet Avira AntiVir einen Virus in den Temp Dateien, kurz darauf gibt es diverse Fehlermeldungen (Kernel stopped working, IExplore stopped working [wobei er gar nicht zum browsen benutzt wird...] und ich hab ziemlich viel Spaß:

- zig Prozesse werden initialisiert,
- diverse neue Dateien in win\sys32 und Co,
- "Cleensweep.exe" Ordner erscheint auf c:\
- Änderungen in den Ordneroptionen (versteckte Ordner werden nicht mehr angezeigt...)
- und einiges andere.


Mit Scans von Malwarebytes Anti-Malware und Avira AntiVir konnte ich gestern das Problem beheben (CCleaner ebenfalls abschließend durchlaufen lassen), heute das gleiche Spielchen. Heute nochmal abschließend HJT drüber laufen lassen - und da steh ich nun und finde nix verdächtiges ;-)

Neben der Frage, ob die Logfile was interessantes respektive verdächtiges enthält, interessiert mich natürlich brennend, wie ich mir dieses Ding eingefangen habe (wohlgemerkt: Passierte beim Surfen, unabhängig von Downloads o.ä.) und wie sich das in Zukunft verhindern lässt.


Für Tipps und Hinweise bin ich offen und bedanke mich schonmal im Voraus :-)

Hallo und :hallo:

Bitte alle anderen Logs nachreichen, v.a. die von AntiVir und Malwarebytes.

Hallo,

ich wollte sie heute Nacht noch anhängen, aber es war zu spät um das Posting zu editieren und ich wollte nicht gleich nen Einstand mit Doppelposting machen ;-)


Ich kann bieten:

- AV Scan nach Bereinigung, da ich im Rahmen des Ganzen den Virenscanner mal neu aufgesetzt hatte, da er andauernd Fehlermeldungen lieferte. Da ist leider das Log mit draufgegangen =(
- AntiMalware Scan vor Bereinigung.
- OTL "Scan" nach Bereinigung.


Dankeschön :-)

Ok. Das OTL-Log sieht rel. unauffällig aus.
Versuch mal ein osam Logfile zur Kontrolle zu posten.

Hallo,

was heißt "relativ"? ;-)

Ich hab OSAM durchlaufen lassen, allerdings passiert nix, wenn ich auf "Save Log" klicke.

Ich habe ein paar gelbe ("File found, but it contains no detailed information"), ein paar unbekannte (mal übermittelt) und ein paar blaue ("File not found | COM-object registry key not found") Einträge, sowie einen rosanen ("File is exclusively opened, access blocked")

Und einen roten:

Name: a13y40py
Publisher: Microsoft Corporation
Full Path: C:\Windows\system32\drivers\a13y40py.sys
Status: "Hidden registry entry, rootkit activity"
Group: SCSI miniport
Risk: Trusted


Allerdings existiert die Datei nicht im angegebenen Order...

Ich weiß, die Dinger sehen auf dem ersten Blick recht böse aus. Aber die stammen vom Treiber für virtuelle CD/DVD-Laufwerke von den Daemon-Tools :)
Poste das Log bitte komplett.

Wenn das Programm das machen würde... :(
Ich versuche es heute Abend nochmal.

Also es ist absolut nicht möglich das Log zu speichern.
Ich habe mal alle Einträge markiert und herauskopiert, aber da dürfte einiges an Informationen fehlen... :-(

Da die Datei auch viel zu groß ist und der Anhang keine .rar Dateien erlaubt, hab ich das mal hochgeladen: hxxp://i8t.de/iw44txmg


Vielen Dank aber fürs Helfen und beraten!


Gruß,
Exxo

Mit dem verlinkten Zeug kann ich nicht viel anfangen. Speicherst Du das OSAM Log denn auch so ab:

http://i38.tinypic.com/339ox9c.gif

Nein, denn der "Save Log" Button funktioniert nicht.
Ich klicke darauf - nichts passiert.

Dann probier mal: Erstell Dir mal ein neues Benutzerkonto (in der Systemsteuerung) mit Adminrechten, log Dich aus und meld Dich mit dem neuen Konto an - führ da erneut OSAM aus, evtl kannst Du da das Log speichern.

Funktioniert auch nicht... :schmoll:

Hm ok... :dummguck:
Dann probier stattdessen einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix ist nicht Win7 kompatibel, bzw. nicht 64bit kompatibel. Kompatibilitätsmodus bringt auch nix. :pukeface:

Ach Du hat ja ein 64-Bit-OS...hab ich übersehen, da laufen Tools wie CF und OSAM nicht richtig :o
Rootkits sind dank Kernel Patch Protection auch nicht so möglich.
Sind in der zwischenzeit überhaupt noch neue Funde aufgetreten? Das OTL-Log sah ja wie bereits erwähnt ok aus.