W32/Murofet.A in 51 Dateien (lt. Avira AntiVir)
 

Moin allerseits und Danke, dass Ihr Euch dem Problem annehmt.

Problem wie gesagt, Avira hat Muro entdeckt :)

Avira Scan, mbam-Scan, OTL Scan u.a. durchgeführt

Bit Defender und TrendMicroHouse Call finden keine Viren, Avira findet den Murofet mit 51 Funden, mbam meldet 12 infizierte Dateien, dabei sind aber 3 ungefährlich (rkfree wude selbst installiert)!

System: Windows XP Home SP3

OTL Scan (Extras.Txt und OTL.txt), mbam und AntiVir-Scan sind angehängt

Wenn ich Euch nicht hätte, würde ich die Registry-Einträge, die mbam gefunden hat löschen und die beiden Trojaner-Downloader löschen. So warte ich aber auf Eure Instruktionen. Was mich überrascht: Bei mbam ist keine Rede von murofet. Hängt Muro mit den Trojanern zusammen?

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Moin Cosinus :abklatsch:

Danke für die freundliche Begrüßung. Habe den Vollscan von mbam jetzt durchgeführt und angehängt. Den Quickscan hatte ich nur deshalb gepostet, weil in der Anleitung (http://www.trojaner-board.de/51187-a...i-malware.html) steht, dass grundsätzlich ein Quickscan ausreiche. Bitte somit um Nachsicht.

Ist auch kein Problem. Quickscan ist für den Anfang ok, aber ich möchte in meinen Analysensträngen immer gern Vollscans sehen, andere verfolgen evtl. eine andere Strategie.

Lt. Anleitung sollst du immer alle Funde mit Malwarebytes auch entfernen, bitte nachholen.

Sorry, nachgeholt. rkfree aber bewusst nicht entfernt, siehe erster Beitrag.

Hast du noch tatsächlich diese Uraltversionen in Benutzung?

Firefox 3.0.11 => aktuell ist 4.01
Thunderbird 2.0.0.21 => aktuell ist 3.1.10


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Moin,

ja, habe noch diese nicht mehr ganz taufrischen Versionen im Einsatz. Bitte nicht :kloppen:

Habe den Rechner im abgesicherten Modus gestartet, damit die Antivirensoftware nicht läuft und anschließend den OTL-Fix gemäß Vorgabe durchgeführt. Interessanterweise wurden zahlreiche Registry-Einträge nicht gefunden. Da Du Dir die nicht "ausgedacht" hast, schon verwunderlich. Aber sieh selbst:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Erledigt. Ergebnis: No infections found. Hört sich fast zu gut an, es zu glauben...

Jetzt einen erneuten mbam-Vollscan?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hmpf :killpc:
Tool ausgeführt, aber nachdem es mitteilte, dass es die infizierten Dateien suchen würde passierte nix mehr (weder Festplattenanzeige leuchtete noch sonst was). Nach zwei Stunden reichte es mir und ich habe es jetzt nochmal probiert. Jetzt zeigt zumindest die Festplatte Aktivität an.
Sobald der Test durch ist (keine Sorge, das hier schreibe ich von einem anderen Rechner aus), kommt das Ergebnis. Derzeit läuft er bereits 15 Minuten.

Gruß und bis hoffentlich gleich

kegelrobbe

Seit 75 Minuten läuft der Cofiscan jetzt schon wieder, die Festplattenleuchte hat Dauerleuchten (also kein Flackern), die Uhrzeitangabe des Rechners ist vor einer Stunde stehengeblieben, alles soweit normal oder soll ich abbrechen?

Reagiert der Rechner überhaupt noch? Maus bewegt soch?

Maus bewegt sich

Und da tut sich sonst garnichts mehr? :balla:

nein, auch jetzt nach 100 Minuten sonst keine Veränderung...:heulen:

Dann wird wohl ein reset gemacht werden müssen... :(

OK, war mal abwesend. Jetzt nach 170 Minuten noch keine Änderung, mache daher einen Reset.
Zum dritten Mal die Software starten macht sicherlich wenig Sinn, oder?

Nein. Lass CF weg. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alles klar, danke :dankeschoen:. Mache ich morgen.

Habe heute in der Zwischenzeit Vollscan mit mbam und AntiVir gemacht. mbam fand nur eine relevante Sache, Antivir fand anschließend gar nichts. Scheint also besser zu werden :alc:.

Gute Nacht

Sooo, moin, jetzt habe ich die Logs beisammen.

Zuerst Gmer im abgesicherten Modus:

GMER Logfile:
--- --- ---

dann OSAM

OSAM Logfile:
--- --- ---

und schließlich noch der MBR-Check:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Log von mbam ergab keine relevanten Auffälligkeiten:

Genauso SASW:

Bravo! :applaus:
:abklatsch:
:bussi:
Vielen herzlichen Dank. :dankeschoen:
Super Arbeit, toller Service.
:party::Boogie:

Noch Probleme oder Rechner wieder im Lot?
Wenn du magst, können wir uns noch eine weitere Meinung über einen OnlineScanner besorgen, ich poste dann eine Anleitung dazu.

Danke, glaube schon, dass Rechner wieder im Lot ist. Der eingeschränkte User (und nur der) bekommt beim Systemstart jetzt immer mehrere Fehlermeldungen, dass eine crss.exe in einem temporären Verzeichnis (innerhalb des Dokumente und Einstellungen-Ordners) nicht zu finden sei und dass ich die doch bitteschön finden solle oder aber den Eintrag in der Registry löschen solle. Nun, die Registry ist groß und per Suche in der Registry konnte ich den Eintrag nicht finden. Somit etwas lästig, aber ok, so weiß ich jedenfalls, dass Virus tot ist und sich ärgert :uglyhammer:

Verstehe immer noch nicht, wie es dazu kommen konnte. Das ist mein alter Rechner, der jetzt seit einem Jahr von meinem Vater genutzt wird. Damit er nicht allzu dumme Dinge anstellt :D (das darf nur ich), hat er eingeschränkte Rechte. Trotzdem hat er es fertiggebracht, sich einen Virus einzufangen. Aber Hauptsache Virus tot, Vater glücklich.

Also nochmals :dankeschoen:

kegelrobbe schwimmt wieder aufs Meer

Dann ist da noch ein verwaister Eintrag. Wenn du willst, können wir den über ein neues OTL-Log ausfindig machen und entfernen. Falls wir den nicht sehen, würd ich vorschlagen, du gibst diesem eingeschränkten User vorübergehend Adminrechte und führst dann unter diesem Benutzer OTL zum Erstellen eines neuen Logs aus.

Klasse, ok, werde mich bald dran machen. Am Nachmittag hörst Du wieder was von mir.

Da ich nicht soviel Zeit hatte, habe ich mich beim Scan auf die Dateisuche und die Registry bzw. Extra-Registry beschränkt (die dafür jeweils mit alles markiert). Zudem habe ich ein paar Fixes schon selbst vorgenommen (siehe unten).

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---


Hier die vorgenommen Fixes: