|
Trojaner TR/Buzus.iias + TR/Buzus.ihys + Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm Hallo, ich habe mir wohl was eingefangen und mein Laptop stürzt ständig ab. Die Quarantäne meines Avira Antivir Programms enthält folgendes: Typ: Datei Quelle: C:\Users\jens\Downloads\PIC04402011.JPG(1).scr Status: Infiziert Quarantäne-Objekt: 5340ad58.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.06.50 Virendefinitionsdatei: 7.11.14.37 Meldung: Ist das Trojanische Pferd TR/Buzus.iias Datum/Uhrzeit: 30.08.2011, 20:15 Typ: Datei Quelle: C:\Users\jens\Downloads\PIC04402011.JPG.scr Status: Infiziert Quarantäne-Objekt: 4bd782ff.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.06.50 Virendefinitionsdatei: 7.11.14.37 Meldung: Ist das Trojanische Pferd TR/Buzus.ihys Datum/Uhrzeit: 30.08.2011, 20:15 Typ: Datei Quelle: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XR5ZM9XM\krbzdvfndzxwjs[1].htm Status: Infiziert Quarantäne-Objekt: 4a7b867a.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.06.50 Virendefinitionsdatei: 7.11.14.37 Meldung: Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm Datum/Uhrzeit: 30.08.2011, 20:20 Ich habe auch bereits schon die erforderlichen Berichte im Anhang. Vielen Dank für eure Hilfe. |
Zitat:
Am besten alle nutzlosen Toolbars deinstallieren. Dabei helfen können dir Ask Toolbar Remover und Multi Toolbar Remover: http://www.chip.de/downloads/ASK-Too..._43117721.html http://www.chip.de/downloads/Multi-T..._43155841.html Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung. Bitte danach routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
erst einmal vielen Dank für deine Hilfe. Zu den Toolbars kann ich nur sagen, dass diese nicht absichtlich heruntergeladen wurden. Ich habe jetzt aber hoffentlich alle unnützen Programme entfernt. Habe dies jedoch direkt in der Systemsteuerung gemacht und ohne die o.g. Programme. Hatte auch in der Systemsteuerung die Toolbars gefunden. Ich hoffe, dass es so okay war. Habe jetzt den Scan fertig und die Logdatei ist hier anbei. Hat auch meines Erachtens ne Menge gefunden. |
Zitat:
Zitat:
|
und was muss ich tun, wenn ich diese entfernt habe? Ist das dann erledigt und ich bin wieder virenfrei? |
Nein, das hat niemand behauptet. Ich will erstmal das Log sehen, das anzeigt, dass auch alle Funde entfernt wurden. Dann poste ich weitere Schritte. |
ok, habe ich ausgeführt. anbei die neue logdatei |
Führ bitte auch ESET aus, danach sehen wir weiter: ESET Online Scanner
|
irgendwie funktioniert das nicht. habe alles so erledigt, wie oben beschrieben. Bekomme aber eine Fehlermeldung: can not get update. Is proxy configured? was habe ich denn falsch gemacht? Meine Internetverbindung war an. Alles andere aus (Antivieren-Programme, Firewall, etc.). Nur mein Browser war geöffnet, wegen der Anleitung auf dieser Seite. |
Zitat:
|
oh ja, danke. dachte nur das programm als admin. hier die neue logdatei |
Ok, das letzte Log ist schon etwas her, mach bitte ein neues OTL-Custom-Log: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
erledigt. hier die neue datei |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
erledigt hier die neue datei |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
hier die neue |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
die neue datei |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
C:\Users\jens\Desktop\ComboFix.exe Der Verzeichnis ist ungültig Das ist die Fehlermeldung, die ich bekomme, wenn ich die txt Datei ins ComboFix ziehen, obwohl ich beide Dateien auf dem Desktop liegen habe |
Hm, komisch. Lad mal combofix neu runter und probiers nochmal. |
hab es vom desktop gelöscht und nochmal runtergeladen und auf dem desktop gespeichert. dann habe ich wieder versucht die txt datei dorthin zu ziehen, aber ich bekomme wieder die selbe fehlermeldung |
Dann lass es sein. Versuch diesen Ordner mal zu löschen c:\users\jens\M-1-74-6482-7942-8945 Schau vorher mal nach ob der leer ist oder nicht. |
den Ordner gibt es nicht, auch nicht, wenn ich ihn suche (siehe beigefügte hardcopy) |
Dann machen wir den Fix mit OTL, statt mit CD: Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
ich bekomme die selbe Fehlermeldung. habe jetzt mal ausprobiert, auch die anderen Programme (z.B. Kaspersky) zu öffnen und bekomme auch die selben Fehlermeldungen |
Zitat:
Gibt es das Verzeichnis überhaupt? "Jens" ist dein Windows-Benutzername? |
habe es jetzt nochmal probiert und jetzt hat es funktioniert. anbei die neue datei |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). |
sorry, wir waren ein paar tage verreist. hier die 3 logdateien |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
hier die 3 dateien |
Zitat:
=> Update vergessen => keinen Vollscan gemacht |
sorry, hier die neue |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
nee eigentlich nicht, mein virenprogramm hat schon lange nichts mehr angezeigt und abgestürzt oder probleme gibt es auch länger nicht. ist somit jetzt alles wieder in ordnung und ich muss mir keine sorgen machen z.b. mein online banking zu öffnen? hatte es seit dem trojaner fund nicht mehr benutzt. |
Zitat:
OnlineBanking auf eigenem Risiko! Notfalls das Banken mit einer Linux-Live-CD wie zB Bankix machen. Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
super. vielen lieben dank für deine hilfe. :daumenhoc :dankeschoen: :dankeschoen: :dankeschoen: :dankeschoen: ich bin heilfroh, dass jetzt wieder alles läuft. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board
