|
Trojaner eingefangen Hallo! Ein Freund hat mir dieses Forum empfohlen, weil ihm hier mit seinen Virenproblemen kompetent geholfen wurde. Ich habe seit einigen Tagen Probleme mit einem (oder mehreren?) Trojanern, die sich nicht mit Antivir endgültig löschen ließen. Eingefangen habe ich ihn/sie mir wahrscheinlich als ich einen Trainer für ein PC-Spiel von der Seite "www.gamecopyworld.de" heruntergeladen habe. Die Datei habe ich mitlerweile gelöscht. Angefangen hat es mit einer Fund-Meldung von Antivir, "TR/Crypt.EPACK.Gen2". Mittlerweile beziehen sich die Meldungen auf "TR/Agent.274218". Ich habe bereits mehrere Scan-Durchläufe mit Antivir hinter mir -wie gesagt ohne Erfolg. Kurioserweise schickte 1&1 eine Email, an einen Mitbewohner. Darin stand, dass ein PC unter dem Anschluss höchst wahrscheinlich von einem Virus befallen sei. Ebenfalls in der Email war ein Link der Initiative "botfrei" zum "DE-Cleaner" von Antivir. Ich habe das Program heruntergeladen und ausgeführt ohne das es einen einzigen Virus fand. Ich hoffe wirklich, dass ihr mir helfen könnt, weil ich nur ungern den gesamten Rechner "killen" möchte. Mit "Maleware Bytes' Anti Malware" habe ich ein Log erstellt, das ich an den Beitrag anhänge. Beste Grüße MrNuchai Anhang: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Database version: 6353 Windows 6.0.6000 Internet Explorer 7.0.6000.17037 13.04.2011 20:30:07 mbam-log-2011-04-13 (20-30-07).txt Scan type: Quick scan Objects scanned: 142982 Time elapsed: 4 minute(s), 8 second(s) Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 0 Registry Values Infected: 1 Registry Data Items Infected: 1 Folders Infected: 0 Files Infected: 1 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: c:\Users\Freizeit\AppData\Local\izeboyorad.dll (Trojan.Agent.U) -> Delete on reboot. Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Xtabica (Trojan.Agent.U) -> Value: Xtabica -> Quarantined and deleted successfully. Registry Data Items Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Folders Infected: (No malicious items detected) Files Infected: c:\Users\Freizeit\AppData\Local\izeboyorad.dll (Trojan.Agent.U) -> Quarantined and deleted successfully. |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
2. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 3. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 4. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 6. Rechtsklick auf den AntiVir-Schirm in der Taskleiste -> AntiVir starten -> Übersicht -> Ereignisse jeden Fund markieren -> Rechtsklick auf Funde -> Ereignis(se) exportieren und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten. Zitat:
Coverflow |
Hallo! Hier erstmal das Log vom ausführlichen Scan: Code: Malwarebytes' Anti-Malware 1.50.1.1100 |
HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
3. bis 5.? wenn Du Zeit hast... |
Habe Versteckte- und Systemdateien sichtbar gemacht. Mit dem hjtscanlist-Log komme ich nicht weiter. Trotz Stückelung kriege ich jedesmal die Fehlermeldung "Fehler: Verbindung unterbrochen". Ich probiere es später nochmal. |
das Log kannst Du aufgetellt hier posten, oder im .txt Format, eventuell auch in eine ZIP-Datei packen und anhängen |
Ok, nun alles Restliche als Zip. Schönen Abend MrNuchai |
1. Zitat:
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. gib in der Suchleiste unter dem Windows Start Button folgendes ein: Code: %temp%- anschließend den Papierkorb leeren 2. reinige dein System mit Ccleaner:
3. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 4. Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
5. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mydtzone.com/startpageDeine Javaversion ist nicht aktuell! Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen: → Systemsteuerung → Software → deinstallieren... → Rechner neu aufstarten → Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)! 7.
► berichte erneut über den Zustand des Computers |
Schritt 1, 2, 3, 4 und 5 abgehakt. Code: GMER 1.0.15.15570 - hxxp://www.gmer.netCode: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.netCode: O4 - HKUS\S-1-5-18\..\Run: [W5E7SH31DG] C:\Windows\TEMP\Bdh.exe (User 'SYSTEM') |
Java-Version aktualisiert. Hier das Log von SUPERAntiSpyware: Code: SUPERAntiSpyware Scan Log |
TDSSKiller von Kaspersky
|
Hi! Habe deine Anweisungen befolgt. Code: 2011/04/27 23:02:31.0298 5808 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 |
1. Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf: Code: HijackThis/Trend Micro2. Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes: Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein! 3. Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) 4. Code: Platform: Windows Vista (WinNT 6.00.1904)Internet Explorer auch veraltet!: - Ich sehe, dass Du noch immer mit eine veraltete Internet Explorer-Version im Netz unterwegs bist! Um sich bei dem Surfen durch das Internet vor unerwünschten Beobachtern, Attacke usw zu schützen und um den Schutz und die Sicherheit des eigenen Rechners zu erhöhen generell ist es ist ratsam, alle auf einem Rechner installierten Software regelmäßig zu aktualisieren. Ein Update beseitigt mehrere Lücken, durch die ein Angreifer Code einschleusen und einen Computer mit Viren infizieren können Um Internet Explorer 8 herunterzuladen klicke bitte hier:-> Internet Explorer 9 - Microsoft Update hält Ihren Computer auf dem neuesten Stand! Wenn auch man ihn nicht verwenden möchte, gehört zur Quasi-Standard-Ausstattung unter Windows... oder von hier:-> http://windows.microsoft.com/de-AT/i...oducts/ie/home 5. - "Link:-> ESET Online Scanner >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board