Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   win32.tdss.rtk eingefangen und noch einige andere (https://www.trojaner-board.de/102136-win32-tdss-rtk-eingefangen-noch-einige-andere.html)

firescorpion 07.08.2011 13:48
win32.tdss.rtk eingefangen und noch einige andere
 
Hallo ;-)
Ich habe von einem Bekannten den Rechner bekommen mit der bitte ich soll doch mal dannach schauen da funktioniert etwas nicht.
hängt sich auf hat ein problem mit dem internet usw meinte er.


Nun habe ich als erstes Antivir geupdatet und einmal drüber laufen lassen, da hat er folgendes gefunden:
  1. C:\Dokumente und Einstellungen\Privat\Eigene Dateien\Downloads\XvidSetup.exe
  2. [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
  3. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c28f407.qua' verschoben!
  4. C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bpjzyg5o.default\Cache\_CACHE_001_ [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53ba53.qua' verschoben
  5. C:\WINDOWS\system32\AcroIEHelpe.dll [FUND] Ist das Trojanische Pferd TR/Spy.Farko.k [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d820036.qua' verschoben!
  6. C:\System Volume Information\_restore{C23FC68E-44F6-44C0-BC08-3C6BB597E34A}\RP301\A0333797.exe [FUND] Ist das Trojanische Pferd TR/Gendal.KD.305312
  7. C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\0.0715348112660037.exe
    [FUND] Ist das Trojanische Pferd TR/Gendal.KD.305851
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4020b0.qua' verschoben!
  8. C:\WINDOWS\system32\hlp.dat
    [FUND] Enthält Erkennungsmuster des Exploits EXP/Agent.34699
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d802de3.qua' verschoben!
  9. C:\System Volume Information\_restore{C23FC68E-44F6-44C0-BC08-3C6BB597E34A}\RP302\A0334815.exe
    [FUND] Ist das Trojanische Pferd TR/Gendal.KD.305851
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d2d1d.qua' verschoben!
  10. C:\System Volume Information\_restore{C23FC68E-44F6-44C0-BC08-3C6BB597E34A}\RP303\A0334848.exe
    [FUND] Ist das Trojanische Pferd TR/Obfuscate.QG.80
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55ca02ba.qua' verschoben!
  11. und ein trojaner TR/Fake.Vimes.569 den ich aber gerade keiner datei zuordnen kann
Anschließend Spybot drüber laufen lassen der mir dan das win32.tdss.rtk angezeigt hat aber nicht beheben konnte.
Superantispyware konnte gar nichts feststellen.

Könnt ihr mir helfen die Daten wären ihm sehr wichtig Firmen Daten und Urlaubsbilder sind drauf deshalb ist eine Neuinstallation leider nicht der sinnvollste Weg ;)

Im Anhang die OTL.log und die gmer.log datei!
Das Programm OTL hat leider nur einen log gespeichert kein Extra.log

Danke im Vorraus

Mit freundlichen Grüßen

firescorpion

hier noch die logdateien von rsit

habe auch mbr durchlaufen lassen mit folgender meldung:

Zitat:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3160812AS rev.3.AAE -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
so nun nochmal malwarebyte drüber laufen lassen erst einen flash scan dann einen vollständigen beim flash hat er was gefunden und gelöscht anschließend beim vollständigen hat er nichts mehr gefunden

cosinus 09.08.2011 13:11
Zitat:
C:\SystemData
C:\SystemData\217FA9668A1.exe
C:\SystemData\A99325CB12B3B5B
Sieht mir stark nach SpyEyes aus. Machst dein Bekannter Onlinebanking oder ähnliche kritische Dinge an diesem Rechner?

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

firescorpion 11.08.2011 07:07
Hallo,

danke für die Hilfe ich habe es nun aber hinbekommen war ne harte Arbeit.
Im endeffekt war es soweit das die Festplatte zusätzlich noch defekte Sektoren hatte beim hochfahren nur noch Chkdsk gekommen ist. Er sobald ich den Pc angemacht habe ohne Netzwerkkabel nach einer Internet verbindung gefragt hat was ja schon sehr merkwürdig war.

zum erfolg hat dann CC-Cleaner, Spybot, Malewarebytes, Superantispyware und Avira gehofen. Aber frage nicht Wie oft ich das drüber laufen lassen musste Ohne Neustarten da er im Autostart drinnen war und bei jedem neustart er sich automatisch wieder gedownloadet hat.

Aber danke trotzdem an alle!:dankeschoen:

Ps. Ja er hat Onlinebanking Paypal etc gemacht hab ihn darauf hingewiesen alle pw direkt von einem sauberen nicht virenbefallenen Pc zu ändern.
Wegen Onlinebanking war er direkt auf der bank hat es gemeldet und hat nun auf iTan verfahren umstellen lassen.

Gruß
firescorpion

cosinus 11.08.2011 12:33
Bei Onlinebanking sollte er generell sehr vorsichtig sein und überlegen ob er den Kompromiss einer Bereinigung wirklich eingehen will.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131