Trojaner-Board - habe einen virus brauche eure hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - habe einen virus brauche eure hilfe (https://www.trojaner-board.de/100006-habe-virus-brauche-hilfe.html)

es ist der tap rootkit/malware

Hallo ktenking,

Belassen wir es mal vorerst mit GMER.

Versuchen wir mal folgendes:

Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von aswMBR.

rückmeldung

aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-06-06 20:45:36
-----------------------------
20:45:36.178 OS Version: Windows 6.1.7601 Service Pack 1
20:45:36.178 Number of processors: 2 586 0x170A
20:45:36.178 ComputerName: KTENKING-PC UserName: ktenking
20:45:37.566 Initialize success
20:45:44.976 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
20:45:44.976 Disk 0 Vendor: SAMSUNG_HD250HJ FH100-05 Size: 238474MB BusType: 3
20:45:44.976 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP5T0L0-5
20:45:44.992 Disk 1 Vendor: ST3250410AS 3.AAC Size: 238474MB BusType: 3
20:45:47.004 Disk 0 MBR read successfully
20:45:47.004 Disk 0 MBR scan
20:45:47.004 Disk 0 Windows 7 default MBR code
20:45:49.017 Disk 0 scanning sectors +488392704
20:45:49.032 Disk 0 scanning C:\Windows\system32\drivers
20:45:50.717 Service scanning
20:45:58.236 Disk 0 trace - called modules:
20:45:58.236 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
20:45:58.236 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8610e030]
20:45:58.236 3 CLASSPNP.SYS[8c37a59e] -> nt!IofCallDriver -> [0x85c90400]
20:45:58.252 5 ACPI.sys[8be993d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85c82030]
20:45:58.252 Scan finished successfully
20:46:08.392 Disk 0 MBR has been saved successfully to "C:\Users\ktenking\Desktop\MBR.dat"
20:46:08.392 The log file has been saved successfully to "C:\Users\ktenking\Desktop\aswMBR.txt"

Hallo ktenking,

der TDSS-Killer konnte das Rootkit anscheinend für uns erledigen:

Zitat:

20:45:47.004 Disk 0 Windows 7 default MBR code

Sieht schon mal gut aus. :daumenhoc

Schritt # 1: Kontrolle des Windows Betriebsystems
Downloade Dir bitte WVCheck von Artellos.com

Speichere die Datei auf dem Desktop. ( solltest Du dir die .zip Datei herunter geladen haben musst Du diese zuerst entpacken )
Starte die .exe mit Doppelklick
Vista und Win7 User: mit Rechtsklick "als Admin ausführen" starten
Wie beschrieben, kann das Tool eine Weile brauchen.
Wenn es erledigt ist, kopiere den Inhalt des Textdokumentes hier in deinen Thread

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

Das Logfile von WVCheck.

ging srh schnel....

Windows Validation Check
Version: 1.9.12.5
Log Created On: 2054_06-06-2011
-----------------------

Windows Information
-----------------------
Windows Version: Windows 7 Service Pack 1
Windows Mode: Normal
Systemroot Path: C:\Windows

WVCheck's Auto Update Check
-----------------------
Auto-Update Option: Download updates and install them automatically.
-----------------------
Last Success Time for Update Detection: 2011-06-06 12:49:45
Last success time for Automatic Updates for 'Detect', 'Download' and 'Install' could not be found.

WVCheck's Registry Check Check
-----------------------
Antiwpa: Not Found
-----------------------
Chew7Hale: Not Found
-----------------------

WVCheck's File Dump
-----------------------
WVCheck found no known bad files.

WVCheck's Dir Dump
-----------------------
WVCheck found no known bad directories.

WVCheck's Missing File Check
-----------------------
WVCheck found no missing Windows files.

WVCheck's MBAM Quarantine Check
-----------------------
There were no bad files quarantined by MBAM.

WVCheck's HOSTS File Check
-----------------------
WVCheck found no bad lines in the hosts file.

WVCheck's MD5 Check
EXPERIMENTAL!!
-----------------------
user32.dll - f1dd3acaee5e6b4bbc69bc6df75cef66

-------- End of File, program close at 2054_06-06-2011 --------

Hallo ktenking,

So gehts weiter. :daumenhoc

Schritt # 1: Wichtige Updates

Lade dir bitte zudem von hier den Internet Explorer 9 (32 Bit Version) auf deinen Desktop und installiere die neue Version.

Schritt # 2: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Schritt # 3: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
Poste den Inhalt bitte hier.

Schritt # 4: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme?

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des ESET Online Scanners,
das Logfile von SecurityCheck und
die Beantwortung der gestellten Fragen.

muss zur arbeit bin morgen früh um 7 wieder da

Zitat:

Zitat von ktenking (Beitrag 668711)

muss zur arbeit bin morgen früh um 7 wieder da

Alles klar. :) Bis morgen. Ich warte auf deine Logfiles, werde aber erst am Nachmittag antworten können (wegen Arbeit). :)

schritt2 sieht klasse aus^^

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

schritt3

Results of screen317's Security Check version 0.99.12
Windows 7 Service Pack 1 (UAC is enabled)
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
Avira AntiVir Premium
ESET Online Scanner v3
WMI entry may not exist for antivirus; attempting automatic update.
Avira successfully updated!
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
````````````````````````````````
Process Check:
objlist.exe by Laurent
Malwarebytes' Anti-Malware mbamservice.exe
Malwarebytes' Anti-Malware mbamgui.exe
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
``````````End of Log````````````

also ich muss schon sagen die meldung des virus kommt nicht mehr und es löft fliessend

Hallo ktenking,

Zitat:

Zitat von ktenking (Beitrag 668660)

ist eingendlich eine gutte frage...

habe nur die eine dvd vermute das es eine raub kopie ist. habe sie mit dem rechner bekommen als ich ihn bei privat personnen kaufte

Ich empfehle dir den Kauf einer legalen Windows 7 DVD.

Zitat:

Zitat von ktenking (Beitrag 668920)

also ich muss schon sagen die meldung des virus kommt nicht mehr und es löft fliessend

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt # 1: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Bereinigung.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 2: Programme deinstallieren/löschen

Deinstalliere/Lösche alle Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 3: ESET Online Scanner

Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
Möchtest Du ESET denoch deinstallieren:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
Drücke OK.

Schritt # 4: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken.
Kopiere nun folgenden Text in die Kommandozeile:

Code:

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
Klicke auf Ok.
Stelle sicher, dass die automatischen Updates aktiviert sind.
Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 5: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
- Malwarebytes' Anti-Malware
- SuperAntiSpyware
- Emsisoft AntiMalware
SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Eine Einführung findest du hier
Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
Verwende keine Keygens, Cracks, Cheats, etc.!
Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 6: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

ich bedanke mich und werde auch eine spende tätigen und natürlich eure seite weiter empfehlen

Zitat:

Zitat von ktenking (Beitrag 669021)

ich bedanke mich und werde auch eine spende tätigen und natürlich eure seite weiter empfehlen

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.