Trojaner-Board - TR/Rootkit.Gen3 + TR/Trash.Gen: Internet geht nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Rootkit.Gen3 + TR/Trash.Gen: Internet geht nicht mehr (https://www.trojaner-board.de/97763-tr-rootkit-gen3-tr-trash-gen-internet-geht-mehr.html)

TR/Rootkit.Gen3 + TR/Trash.Gen: Internet geht nicht mehr

Hallo,
ich habe seit gestern Abend folgendes Problem und schon das ganze Internet nach Problemlösungen durchsucht, traue mich aber nicht, diese zu befolgen, da ich auch totaler Laie bin.

Ich habe Malwarebytes' Anti-Malware heruntergeladen und durchlaufen lassen. Tja, es wurden 139 „Viren“ gefunden (trotz aktuellem Schutz von AntiVir), kurz darauf meldete AntiVir ebenfalls Trojaner. Seit dem funktioniert mein Browser (hab Firefox) nicht mehr :heulen:. Bei Mozilla Thunderbird ist es das gleiche Problem. Verbindung zum Internet besteht aber, da ich Updates für AntiVir problemlos runterladen kann und der zweite Rechner (also der hier) ja auch einwandfrei funktioniert. Mein Rechner ist wohl ziemlich verseucht, ansonsten machen sich aber seltsamerweise keine Fehler bemerkbar.

Ich habe die Viren/Trojaner in die Quarantäne gepackt und bin jetzt skeptisch, was ich als Nächstes tun soll. Vermutlich werde ich nicht ums Formatieren herumkommen…oder?:schmoll:

Ich habe die Meldungen (von AntiVir, Hijackthis und Malwarebytes) als Anlage beigefügt. Wenn noch irgendetwas fehlt usw., bitte melden.

Vielen, vielen Dank vorab
Effi

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo,

anbei meine Überprüfung. Ich hoffe, dass alles korrekt geklappt hat.
Wenn nicht bitte melden.

Dankeschön und evtl. schon mal schöne Ostern

Effi

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()

IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)

IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.selectedEngine: "ICQ Search"

[2011.03.06 19:46:47 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\24s9k5gt.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2010.05.05 20:39:53 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\24s9k5gt.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.01.10 14:15:33 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\24s9k5gt.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}

[2011.04.16 12:30:20 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\24s9k5gt.default\searchplugins\icqplugin-1.xml

[2008.11.18 14:56:02 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Mozilla\Firefox\Profiles\24s9k5gt.default\searchplugins\icqplugin.xml

[2008.11.30 20:23:57 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)

O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll (Dell Inc.)

O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)

O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O4 - HKLM..\Run: []  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2004.08.13 13:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{623a4005-495a-11de-ac4e-0013722779bb}\Shell\AutoRun\command - "" = ·Ë

O33 - MountPoints2\{623a4005-495a-11de-ac4e-0013722779bb}\Shell\explore\Command - "" = K:\RECYCLER\INFO.exe

O33 - MountPoints2\{623a4005-495a-11de-ac4e-0013722779bb}\Shell\open\Command - "" = K:\RECYCLER\INFO.exe

O33 - MountPoints2\{7beeca1a-56d6-11df-b343-0014a5c252f8}\Shell\AutoRun\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

O33 - MountPoints2\{7beeca1a-56d6-11df-b343-0014a5c252f8}\Shell\open\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

O33 - MountPoints2\{d448f004-a6bd-11dd-abd2-0013722779bb}\Shell\AutoRun\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

O33 - MountPoints2\{d448f004-a6bd-11dd-abd2-0013722779bb}\Shell\open\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hab alles ausgeführt. Hoffe es war richtig. Die logdatei ist anbei.

Viele Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Frohe Ostern!

So, beides ausgeführt. Sieht glaube ich ganz gut aus. Das Internet geht jetzt auch (verzögert) wieder. Weiß nicht, ob es mit den Trojanern zusammenhing.

Gruß

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.