stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?
 

Hi,

erstmal toll, dass es so eine Seite gibt auf der ihr euch mit Problemen fremder Leute beschäftigt! :daumenhoc:applaus:

Zu meinem Problem: vor kurzem ist mir aufgefallen, dass sich Firefox komisch verhält. Ist oft abgestürzt; Links, neue Tabs und vor allem Google brauchen ungewöhnlich lange zum Laden.

Avira hat nichts gefunden, mit Malwarebytes wurde ich allerdings fündig:
stolen.data im \system32 Ordner.:eek:
Konnte auch entfernt werden, kam aber immer wieder.

Auf nen Tip hab ich ComboFix ausprobiert und es scheint den Trojaner gelöscht zu haben. Allerdings ist Firefox immer noch langsam und verhält sich komisch. Ich hab schon ein Neues Profil erstellt, de- und reinstalliert, safemodus etc. ausprobiert: keine Änderung.

Hab ich noch Reste von stolen.data oder sonstwas auf meinem Rechner? :confused:

Schonmal vielen Dank!
Äleks

Edit: Ah, da fällt mir noch ein: Ich hab Babylon installiert, aber nachdem ich gemerkt habe, dass das nur ne Testversion war und Avira irgendein Problem damit hatte, hab ichs deinstallliert.

Hier die Log Files:

OTL:OTL Logfile:
--- --- ---

Gmer:
GMER Logfile:
--- --- ---

Malwarebytes Log:
Von gestern:
Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7318

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.07.2011 15:36:24
mbam-log-2011-07-29 (15-36-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 175940
Laufzeit: 2 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.

und heute:
Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7344

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.08.2011 17:06:28
mbam-log-2011-08-01 (17-06-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 249528
Laufzeit: 28 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Erstmal danke für die schnelle antwort!

Hier ist die ESET Log:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=b726e7ced397c84fb19a40f770861db9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-02 12:13:02
# local_time=2011-08-02 02:13:02 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 100 346448 87176962 78958 0
# compatibility_mode=8192 67108863 100 0 306 306 0 0
# scanned=107019
# found=1
# cleaned=0
# scan_time=6784
C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\38104072-7e60ad0c probably a variant of Java/TrojanDownloader.Agent.AB trojan (unable to clean) 00000000000000000000000000000000 I

Was soll das werden??
Führst Combofix ohne Anweisung aus und dann postest du nichtmal das Log!! :balla:

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Da war ich noch nicht hier im Forum. Ein Kumpel hat gemeint, ich soll das ausprobieren....
Ich hatte keine Ahnung, dass das so gefährlich sein kann, vor allem da CF ja ein Recovery Punkt eingerichtet hat! Sorry, falls ich da zu voreilig war und dir die Sacher erschwere!


Aber hier das Log:

Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!



Anschließend brauch ich den Quarantäneordner von Combofix. Bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

okay, hab alles gemacht. CF gescriptet ausgeführt und den quarantäne ordner hochgeladen.

Hier das Log von CF:

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER Logfile:
--- --- ---

OSAM Logfile:
--- --- ---



aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-03 17:04:17
-----------------------------
17:04:17.187 OS Version: Windows 5.1.2600 Service Pack 3
17:04:17.187 Number of processors: 2 586 0xE08
17:04:17.187 ComputerName: MASCHINEALTER UserName: Äleks_2
17:04:17.578 Initialize success
17:14:09.656 AVAST engine defs: 11080300
17:15:14.000 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:15:14.000 Disk 0 Vendor: SAMSUNG_HM320II 2AC101C4 Size: 305245MB BusType: 3
17:15:16.187 Disk 0 MBR read successfully
17:15:16.187 Disk 0 MBR scan
17:15:16.234 Disk 0 Win32:MBRoot-J [Trj]
17:15:16.250 Disk 0 Windows XP default MBR code found via API
17:15:16.250 Disk 0 MBR hidden
17:15:16.250 Disk 0 MBR [Win32:MBRoot] **ROOTKIT**
17:15:16.250 Disk 0 trace - called modules:
17:15:16.296 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x89c12e48]<<
17:15:16.296 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89de9ab8]
17:15:16.296 3 CLASSPNP.SYS[ba908fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89d95940]
17:15:16.656 AVAST engine scan C:\WINDOWS
17:15:41.593 AVAST engine scan C:\WINDOWS\system32
17:24:39.703 AVAST engine scan C:\WINDOWS\system32\drivers
17:25:45.359 AVAST engine scan C:\Dokumente und Einstellungen\Äleks_2
17:36:36.359 AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:39:18.781 Scan finished successfully
17:52:50.984 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\MBR.dat"
17:52:50.984 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\aswMBR.txt"

Wir sollten den MBR reparieren. Sichere für den Fall der Fälle jetzt alle wichtigen Daten.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste das neue Log.

Da ich nur WinXP drauf habe, habe ich den MBR so repariert wie du gesagt hast. Hat alles reibungslos geklappt.

Hier die neuen Logs:

GMER Logfile:
--- --- ---


aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-04 09:24:42
-----------------------------
09:24:42.609 OS Version: Windows 5.1.2600 Service Pack 3
09:24:42.609 Number of processors: 2 586 0xE08
09:24:42.609 ComputerName: MASCHINEALTER UserName: Äleks_2
09:24:42.828 Initialize success
09:24:50.453 AVAST engine defs: 11080300
09:25:18.937 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:25:18.937 Disk 0 Vendor: SAMSUNG_HM320II 2AC101C4 Size: 305245MB BusType: 3
09:25:20.953 Disk 0 MBR read successfully
09:25:20.953 Disk 0 MBR scan
09:25:20.984 Disk 0 Windows XP default MBR code
09:25:20.984 Disk 0 scanning sectors +625121280
09:25:21.015 Disk 0 malicious Win32:MBRoot code @ sector 625121283 !
09:25:21.015 Disk 0 PE file @ sector 625121305 !
09:25:21.062 Disk 0 scanning C:\WINDOWS\system32\drivers
09:25:28.656 Service scanning
09:25:29.546 Modules scanning
09:25:32.703 Disk 0 trace - called modules:
09:25:32.718 ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
09:25:32.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d98ab8]
09:25:32.734 3 CLASSPNP.SYS[ba908fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89dd5d98]
09:25:33.125 AVAST engine scan C:\WINDOWS
09:25:36.625 AVAST engine scan C:\WINDOWS\system32
09:27:04.875 AVAST engine scan C:\WINDOWS\system32\drivers
09:27:16.062 AVAST engine scan C:\Dokumente und Einstellungen\Äleks_2
09:36:05.312 AVAST engine scan C:\Dokumente und Einstellungen\All Users
09:38:54.140 Scan finished successfully
09:51:06.453 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\MBR.dat"
09:51:06.453 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\aswMBR2.txt"


Und? :glaskugel: Denkst du, es ist alles clean?