Trojan Downloader win32/renos.pp
 

Hallo,
ich habe mir gestern einen Trojaner eingefangen.
Der Windows Defender hat ihn gefunden. Ich habe dann versucht ihn mit dem Defender zu entfernen. Leider hat das nicht wirklich funktioniert und nach jedem Neustart des PC´s war er wieder da. Antivir und Spybot haben ihn gar nicht entdeckt.
Dann habe ich mir Malwarebytes heruntergeladen und einen Quickscan gemacht. Das Programm hat den Trojaner auch entdeckt und entfernt bzw. erst in die Quarantäne verschoben, wo ich ihn dann gelöscht habe.

Danach habe ich die Programme Windows Defender und Malwarebyte noch einige male durchlaufen lassen, beide haben den Trojaner nicht mehr gefunden. Auch das Löschen mit dem CCleaner und Clearprog habe ich mehrmals angestossen.
Die Download Fenster, die sich immer plötzlich geöffnet haben, erscheinen nicht mehr. Deshalb hoffe ich, dass ich ihn wirklich entfernt habe.

Heute hat Malwarebyte dafür eine andere infizierte Datei gefunden Adware.ADON. Hat das was zu sagen?

Ich bin nun unsicher, ob mein PC wirklich wieder sicher ist.

Anbei die Malwarebyte Logdateien und die OTL Datei.

Es würde mich sehr freuen, wenn Sie mir helfen und sich die Dateien ansehen könnten.

Vielen Dank!

Hab die 2. OTL Logfile vergessen:

Die Scans sind schon etwas her. Bitte Malwarebytes updaten und einen neuen Vollscan machen.

So, hab Malwarebytes aktualisiert und einen Fullscan gemacht.

Hier das Ergebnis:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So, alles erledigt. Ich hoffe, ich hab alles richtig gemacht.


All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74dcff52-f432-11de-8081-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74dcff52-f432-11de-8081-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74dcff52-f432-11de-8081-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74dcff52-f432-11de-8081-806e6f6e6963}\ not found.
File E:\install.exe not found.
C:\Windows\Tasks\Heuptcj.job moved successfully.
C:\Windows\Tasks\Aksrwz.job moved successfully.
C:\Windows\Tasks\Uyxibg.job moved successfully.
ADS C:\ProgramData\Temp:4CF61E54 deleted successfully.
ADS C:\ProgramData\Temp:ABE89FFE deleted successfully.
ADS C:\ProgramData\Temp:E1F04E8D deleted successfully.
========== COMMANDS ==========
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: ****
->Temp folder emptied: 133247 bytes
->Temporary Internet Files folder emptied: 17685778 bytes
->Java cache emptied: 23957 bytes
->Flash cache emptied: 1963536 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1406560 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28538 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 20.00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 05062011_203502

Files\Folders moved on Reboot...
File\Folder C:\Users\****\AppData\Local\Temp\~DF2514E99C957B5959.TMP not found!
File\Folder C:\Users\****\AppData\Local\Temp\~DFA14C5D85B7402B2D.TMP not found!
File\Folder C:\Users\****\AppData\Local\Temp\~DFE9E577CBCB794964.TMP not found!
File\Folder C:\Users\****\AppData\Local\Temp\~DFF688516AEF16C4E2.TMP not found!
C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O574I9CE\98437-trojan-downloader-win32-renos-pp[1].html moved successfully.
C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O574I9CE\ads[1].htm moved successfully.
C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\09R5BIKE\ads[1].htm moved successfully.
C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\09R5BIKE\cm[1].htm moved successfully.
C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

TDSS Killer sagt:
Infection not found.

Kein Log zum posten.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Müssen wir noch viel machen?
Bin nämlich ab morgen 2 Wochen nicht online.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo, da bin ich wieder.

Habe nun versucht, nach obiger Anleitung Combofix zu scripten, bekomme aber nun den Hinweis, dassCombofix nicht mehr aktuell bzw. abgelaufen ist.

Muss ich jetzt alles wieder von vorne machen?

Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. Nach einer bestimmten Zeit muss man CF neu runterladen.

So, anbei nun die neue Combofix Log Datei. Allerdings bin ich nicht nach einem Neustart gefragt worden.
Hab ich was falsch gemacht?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Anbei die GMER Log Datei:
GMER Logfile:
--- --- ---

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R530/R730
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 190):
0x83052000 \SystemRoot\system32\ntoskrnl.exe
0x8301B000 \SystemRoot\system32\halmacpi.dll
0x80BAF000 \SystemRoot\system32\kdcom.dll
0x8B81D000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8B895000 \SystemRoot\system32\PSHED.dll
0x8B8A6000 \SystemRoot\system32\BOOTVID.dll
0x8B8AE000 \SystemRoot\system32\CLFS.SYS
0x8B8F0000 \SystemRoot\system32\CI.dll
0x8B99B000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8BA0C000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8BA1A000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8BA62000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x8BA6B000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8BA73000 \SystemRoot\system32\DRIVERS\pci.sys
0x8BA9D000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8BAA8000 \SystemRoot\System32\drivers\partmgr.sys
0x8BAB9000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8BAC1000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8BACC000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8BADC000 \SystemRoot\System32\drivers\volmgrx.sys
0x8BB27000 \SystemRoot\System32\drivers\mountmgr.sys
0x8BC0C000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8BCE6000 \SystemRoot\system32\DRIVERS\atapi.sys
0x8BCEF000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x8BD12000 \SystemRoot\system32\DRIVERS\msahci.sys
0x8BD1C000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x8BD2A000 \SystemRoot\system32\drivers\amdxata.sys
0x8BD33000 \SystemRoot\system32\drivers\fltmgr.sys
0x8BD67000 \SystemRoot\system32\drivers\fileinfo.sys
0x8BD78000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8BEA7000 \SystemRoot\System32\Drivers\msrpc.sys
0x8BED2000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8BEE5000 \SystemRoot\System32\Drivers\cng.sys
0x8BF42000 \SystemRoot\System32\drivers\pcw.sys
0x8BF50000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8BB3D000 \SystemRoot\system32\drivers\ndis.sys
0x8BF59000 \SystemRoot\system32\drivers\NETIO.SYS
0x8BF97000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8BFBC000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8BC00000 \SystemRoot\System32\Drivers\spldr.sys
0x8C01B000 \SystemRoot\System32\drivers\rdyboost.sys
0x8C048000 \SystemRoot\System32\Drivers\mup.sys
0x8C058000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8C060000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8C092000 \SystemRoot\system32\DRIVERS\disk.sys
0x8C0A3000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8C1C0000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8C1DF000 \SystemRoot\System32\Drivers\Null.SYS
0x8C1E6000 \SystemRoot\System32\Drivers\Beep.SYS
0x8C1ED000 \SystemRoot\System32\drivers\vga.sys
0x8C1F9000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8C21A000 \SystemRoot\System32\drivers\watchdog.sys
0x8C227000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8C22F000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8C237000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8C23F000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8C24A000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8C258000 \SystemRoot\System32\drivers\tcpip.sys
0x8C3A1000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C3D2000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8C3E9000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x92C21000 \SystemRoot\system32\drivers\afd.sys
0x92C7B000 \SystemRoot\System32\DRIVERS\netbt.sys
0x92CAD000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x92CB4000 \SystemRoot\system32\DRIVERS\pacer.sys
0x92CD3000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x92CE4000 \SystemRoot\system32\DRIVERS\netbios.sys
0x92CF2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x92D05000 \SystemRoot\system32\DRIVERS\termdd.sys
0x92D15000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x92D1B000 \??\C:\windows\system32\Drivers\SABI.sys
0x92D23000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x92D64000 \SystemRoot\system32\drivers\nsiproxy.sys
0x92D6E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x92D78000 \SystemRoot\System32\drivers\discache.sys
0x92D84000 \SystemRoot\System32\Drivers\dfsc.sys
0x92D9C000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x92DAA000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x92DD0000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x93839000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x94156000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x9420D000 \SystemRoot\System32\drivers\dxgmms1.sys
0x94246000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x94251000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x9429C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x942AB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x942CA000 \SystemRoot\system32\DRIVERS\athr.sys
0x93800000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x92DF1000 \SystemRoot\system32\DRIVERS\yk62x86.sys
0x9380A000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x9380E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x93826000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x92E42000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x93833000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x92E79000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x92E86000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x92E98000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x92EA5000 \SystemRoot\system32\DRIVERS\CryptOSD.sys
0x92F03000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x92F15000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x92F2D000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x92F38000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x92F5A000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x92F72000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x92F89000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x93835000 \SystemRoot\system32\DRIVERS\swenum.sys
0x92FA0000 \SystemRoot\system32\DRIVERS\ks.sys
0x92FD4000 \SystemRoot\system32\DRIVERS\umbus.sys
0x95412000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x95456000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x95467000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x95714000 \SystemRoot\system32\drivers\portcls.sys
0x95743000 \SystemRoot\system32\drivers\drmk.sys
0x9575C000 \SystemRoot\system32\drivers\IntcHdmi.sys
0x97180000 \SystemRoot\System32\win32k.sys
0x9577F000 \SystemRoot\System32\drivers\Dxapi.sys
0x95789000 \SystemRoot\system32\DRIVERS\pelusblf.sys
0x9578C000 \SystemRoot\system32\DRIVERS\pelmouse.sys
0x95790000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9579B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x957AE000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x957B5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x957C0000 \SystemRoot\system32\DRIVERS\monitor.sys
0x957CB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x973E0000 \SystemRoot\System32\TSDDD.dll
0x957E2000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8C0C8000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x957EF000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x97020000 \SystemRoot\System32\cdd.dll
0x92FE2000 \SystemRoot\system32\drivers\luafv.sys
0x92C00000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8C1A2000 \SystemRoot\system32\drivers\WudfPf.sys
0x95400000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8E41F000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8E465000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8E475000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8E491000 \SystemRoot\system32\drivers\HTTP.sys
0x8E516000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8E52F000 \SystemRoot\System32\drivers\mpsdrv.sys
0x8E541000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8E564000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8E59F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x8E5D2000 \SystemRoot\system32\drivers\peauth.sys
0x8E669000 \SystemRoot\System32\Drivers\secdrv.SYS
0x8E673000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x8E694000 \SystemRoot\System32\drivers\tcpipreg.sys
0x8E6A1000 \SystemRoot\System32\DRIVERS\srv2.sys
0x8E6F0000 \SystemRoot\System32\DRIVERS\srv.sys
0x8E742000 \SystemRoot\System32\drivers\ipnat.sys
0x8E7D2000 \SystemRoot\system32\DRIVERS\usbprint.sys
0x8E7DD000 \??\C:\Users\****\AppData\Local\Temp\kxldrpow.sys
0x77780000 \Windows\System32\ntdll.dll
0x48470000 \Windows\System32\smss.exe
0x779C0000 \Windows\System32\apisetschema.dll
0x00C40000 \Windows\System32\autochk.exe
0x775E0000 \Windows\System32\setupapi.dll
0x76990000 \Windows\System32\shell32.dll
0x778D0000 \Windows\System32\kernel32.dll
0x76950000 \Windows\System32\ws2_32.dll
0x76930000 \Windows\System32\imm32.dll
0x76890000 \Windows\System32\advapi32.dll
0x778C0000 \Windows\System32\nsi.dll
0x76880000 \Windows\System32\normaliz.dll
0x76860000 \Windows\System32\sechost.dll
0x76790000 \Windows\System32\user32.dll
0x76780000 \Windows\System32\psapi.dll
0x76730000 \Windows\System32\gdi32.dll
0x76630000 \Windows\System32\wininet.dll
0x76590000 \Windows\System32\usp10.dll
0x76540000 \Windows\System32\Wldap32.dll
0x76490000 \Windows\System32\rpcrt4.dll
0x76290000 \Windows\System32\iertutil.dll
0x76200000 \Windows\System32\oleaut32.dll
0x761F0000 \Windows\System32\lpk.dll
0x76170000 \Windows\System32\comdlg32.dll
0x76140000 \Windows\System32\imagehlp.dll
0x760E0000 \Windows\System32\shlwapi.dll
0x76080000 \Windows\System32\difxapi.dll
0x75FD0000 \Windows\System32\msvcrt.dll
0x75F40000 \Windows\System32\clbcatq.dll
0x75E00000 \Windows\System32\urlmon.dll
0x75CA0000 \Windows\System32\ole32.dll
0x75BD0000 \Windows\System32\msctf.dll
0x75BA0000 \Windows\System32\cfgmgr32.dll
0x75B70000 \Windows\System32\wintrust.dll
0x75B20000 \Windows\System32\KernelBase.dll
0x75A00000 \Windows\System32\crypt32.dll
0x759E0000 \Windows\System32\devobj.dll
0x75950000 \Windows\System32\comctl32.dll
0x75940000 \Windows\System32\msasn1.dll

Processes (total 76):
0 System Idle Process
4 System
300 C:\Windows\System32\smss.exe
432 csrss.exe
496 C:\Windows\System32\wininit.exe
504 csrss.exe
556 C:\Windows\System32\services.exe
580 C:\Windows\System32\lsass.exe
588 C:\Windows\System32\lsm.exe
604 C:\Windows\System32\winlogon.exe
716 C:\Windows\System32\svchost.exe
820 C:\Windows\System32\svchost.exe
880 C:\Windows\System32\svchost.exe
944 C:\Windows\System32\svchost.exe
988 C:\Windows\System32\svchost.exe
1100 C:\Windows\System32\svchost.exe
1180 C:\Windows\System32\svchost.exe
1372 C:\Windows\System32\taskeng.exe
1408 C:\Windows\System32\spoolsv.exe
1484 C:\Windows\System32\rundll32.exe
1496 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1528 C:\Windows\System32\rundll32.exe
1556 C:\Windows\System32\rundll32.exe
1588 C:\Windows\System32\svchost.exe
1700 C:\Windows\System32\taskhost.exe
1716 C:\Windows\System32\dwm.exe
1876 C:\Windows\explorer.exe
1892 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2012 C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe
2024 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2032 C:\Windows\System32\conhost.exe
276 C:\Windows\System32\taskeng.exe
732 C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
1308 C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
1684 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
1660 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
1752 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
2068 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2180 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
2408 C:\Program Files\CyberLink\Shared files\RichVideo.exe
2464 C:\Windows\System32\svchost.exe
2540 C:\Windows\System32\svchost.exe
2592 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2780 C:\Windows\System32\igfxext.exe
2816 C:\Windows\System32\igfxsrvc.exe
3076 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
3088 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
3164 C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
3300 C:\Windows\System32\ico.exe
3348 C:\Windows\System32\FSRremoS.EXE
3492 C:\Windows\System32\igfxtray.exe
3504 C:\Windows\System32\hkcmd.exe
3516 C:\Windows\System32\igfxpers.exe
3532 C:\Windows\System32\PELMICED.EXE
3640 C:\Program Files\Common Files\Java\Java Update\jusched.exe
3744 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3764 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
3984 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
1196 C:\Windows\System32\SearchIndexer.exe
2404 C:\Windows\System32\alg.exe
3336 C:\Windows\System32\svchost.exe
3408 C:\Windows\System32\svchost.exe
3872 C:\Program Files\Windows Media Player\wmpnetwk.exe
4924 C:\Windows\System32\svchost.exe
2416 C:\Windows\System32\wuauclt.exe
2576 C:\Windows\System32\svchost.exe
1232 C:\PROGRA~1\Samsung\SAMSUN~2\SUPNOT~1.EXE
5136 C:\Windows\System32\audiodg.exe
5628 C:\Program Files\Internet Explorer\iexplore.exe
5640 C:\Program Files\Internet Explorer\iexplore.exe
5328 C:\Windows\System32\SearchFilterHost.exe
4036 C:\Windows\System32\SearchProtocolHost.exe
4912 C:\Program Files\Internet Explorer\iexplore.exe
6060 C:\Windows\System32\SearchProtocolHost.exe
4200 C:\Users\****\Desktop\MBRCheck.exe
5300 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`c6500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000027`25f00000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS545032B9A300, Rev: PB3OC66G

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: F5C09ACABD4A5370BDD907E8EDFE0C1DA0F9D3F5


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (32-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-32-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Win7-Installations-DVD (32-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Ich versteh nur noch Bahnhof.
Was heißt MBR fixen? Muss das sein?
Ich habe Angst, dass hinterher alle meine Daten weg sind und dann gar nichts mehr funktioniert.

Ich habe das Notebook inkl. installiertem Windows 7 gekauft. Habe keine CD oder DVD. für Win.

Habe keine Ahnung von dem Ganzen.

Deswegen macht man für den Fall der Fälle immer Datensicherungen, ich weise nur nochmal vor internen Eingriffen daraufhin. Regelmäßig werden immer wichtige Daten gesichert, unabhängig ob man den MBR fixen will oder nicht - oder glaubst du die Platte spricht zu dir, dass sie morgen kaputt geht? Was machst du ohne Datensicherung bei einem Festplattenausfall? (zugeben, Plattenausfälle sind nicht häufig, aber wahrscheinlich genug...)

Einfach der Anleitung folgen, oder sind da Probleme beim Verstehen?

So, die Win-CD habe ich gebrannt.

Meine Daten werden einmal in der Woche auf dem Festplatten-Laufwerk D: gespeichert. Muss ich die jetzt zusätzlich noch irgendwie sichern? Und wenn ja, wie?

Das ist ein Pseudobackup denn:

Du hast nur eine interne Platte, die in zwei Partitionen unterteilt ist, C + D. Wenn die interne Platte ausfällt, sind C+ D weg! Du musst auf ein anderes physikalisches Medium sichern! Externe Festplatte wäre sowas.

Ich habe aber keine externe Festplatte. Was mache ich nun?

So schnell wie es geht mal eine besorgen. Backups auf dasselbe physikalische medium zu erstellen kann auf Dauer nicht gutgehen :pfeiff:
Ist zwar besser als nichts, aber bei Ausfall dieser Platte sind die Daten und das backupverzeichnis mit weg.

Lassen wir den MBR-Fix erstmal weg.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6661

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24.05.2011 11:01:42
mbam-log-2011-05-24 (11-01-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 242029
Laufzeit: 40 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 05/24/2011 bei 02:40 PM

Version der Applikation : 4.53.1000

Version der Kern-Datenbank : 7126
Version der Spur-Datenbank : 4938

Scan Art : kompletter Scann
Totale Scann-Zeit : 03:24:28

Gescannte Speicherelemente : 736
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 9806
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 97126
Erfasste Datei-Elemente : 0


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)
# OnlineScanner.ocx=1.0.0.6522
# api_version=3.0.2
# EOSSerial=86c9e9e100858c4bb7f703b3169e4f5e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-24 02:22:11
# local_time=2011-05-24 04:22:11 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 239571 42779116 236099 0
# compatibility_mode=5893 16776573 100 94 17750 57873486 0 0
# compatibility_mode=8192 67108863 100 0 73 73 0 0
# scanned=103287
# found=0
# cleaned=0
# scan_time=4637

Keine Funde! :daumenhoc
Rechner wieder im Lot oder gibts noch Probleme und/oder andere Funde?

Nein, keine weiteren Funde oder Probleme. Es öffnen sich keine ungewollten Fenster mehr.

Was ist denn mit diesem MBR-Fix? Muss ich das dann noch irgendwann nachholen?

Den MBR-Fix hätte ich sicherheitshalber gemacht, denn unbekannter MBR kann infizierter MBR bedeuten - muss aber nicht.

Okay, dan sage ich vielen, vielen Dank für deine Mühe und deine Geduld mit mir!
Toll, dass es dieses Forum und solche Leute wie dich gibt!

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo, ich bin´s schon wieder. Hab schon wieder was neues:
Erst hat Antivir mir Malware gemeldet: HEUR/HTML.Malware im Verzeichnis C:\Users\****\AppData\Local\...\Temporary Internet Files\Content. IE5\0N2AMYWN

Diese Datei habe ich dann in die Quarantäne verschoben. Danach habe ich Malwarebytes gestartet, und habe schon wieder einen Trojaner:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6747

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

01.06.2011 22:33:43
mbam-log-2011-06-01 (22-33-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 254508
Laufzeit: 50 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\PT25DHYRAW (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Was ist denn das jetzt schon wieder?

Ja hast du denn auch VOR DIESEN MELDUNGEN alle Updates eingespielt?

Ja, hab ich, gestern sogar noch den neuen IE installiert.
Hier noch die OTL-Datei:OTL Logfile:
--- --- ---

Hab mir auch heute eine externe Festplatte besorgt!

Gibt es denn ein Programm, dass diese Trojaner erkennt, bevor Sie auf den PC gelangen, also sowas wie einen Hintergrundscanner (Nennt man das so?)? Ist es sinnvoll die Vollversion von Malwarebytes zu kaufen?

Ich hab auch heute nachmittag die Meldung bekommen, dass mein Antivir upgedatet werden muss. Normalerweise wird das Update automatisch jeden Tag gemacht, hat aber wohl die letzten Tage nicht funktioniert. Habe das Update dann sofort gemacht.

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Vielen Dank für deine Antwort.

Was mache ich denn nun mit den beiden gefundenen Dateien? Bis jetzt sind sie nur in die Quarantäne verschoben. Kann ich die da löschen und alles ist in Ordnung, oder müssen wir alles nochmal machen, wie beim letzten Mal?

Wenn ich nun eine Datensicherung auf meine Festplatte mache, kopiere ich dann den Trojaner mit auf die Festplatte, oder kann das nicht pasieren?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.