Trojaner-Board - Win32: Krytik-HIZ Trojaner, wie soll ich weiter vorgehen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32: Krytik-HIZ Trojaner, wie soll ich weiter vorgehen? (https://www.trojaner-board.de/110193-win32-krytik-hiz-trojaner-vorgehen.html)

Win32: Krytik-HIZ Trojaner, wie soll ich weiter vorgehen?

Guten Tag,
ich hatte die ganze Zeit ein sauberes System und jetzt plötzlich ist es infiziert. So ist die Lage im Moment: Ich habe mit G Data Internet Security 2012 meinen Rechner gescannt ( also im Betriebszustand ), dazu habe Emsisoft Anti Malware daruchlaufen lassen, kein Fund. Der Grund warum ich diese Programme scannen lies war, dass am Mittag der G Data Wächter 4 Trojaner ( Trojan.JS.Redirector.VP ) geblockt hat. Dann habe ich zum Glück die Boot CD von G Data eingelegt und gescannt. Naja, ab da wurde es richtig blöd. Als erstes wurde der Trojaner Win32: Krytik-HIZ in meinem BackUP auf der zweiten Platte entdeckt. Das hat mich verwundert, weil ich das BackUP ganz am Anfang nach der Installertion von Win7 erstellt habe. Dazwischen habe ich auch mit der CD gescannt und es war kein Virus drauf. Danach wurde der selbe Virus noch unter Windows ( eine .ico Datei ) und wenn ich mich recht erinnern kann unter Appdata Microsoft auch eine .ico Datei gefunden. Nach jedem Fund hat sie die CD aufgehängt und ich musste neu starten. Daher kann es sein, dass der Virus noch wo anderes sitzt, da ich erst 90% gescannt habe. Bei den drei erkannten Viren habe ich "Datei Löschen" geklickt. Dazu habe ich jetzt noch den TDSSKiller von Kaspersky laufen lassen, kein Fund. Auch HiJackThis hat keinen roten Eintrag markiert. Malwarebytes Anti Malware scannt gerade, hat aber noch nichts entdeckt.

Wie soll ich weiter vorgehen? Vielen Dank

PS: Jetzt ist Malwarebytes fertig, kein Fund.

Wo snd die Logs von den Scannern? Alle bitte nachreichen egal ob Fund oder nicht. Alle von Malwarebytes, GDATA und was du noch so ausgeführt hast.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hmmm, da gibt es ein kleines Problem.
G-Data speichert die Log's vom Bootscan nur wenn er abgeschlossen ist. Nach jedem Virusfund habe ich auf '' löschen '' geklickt und dabei hat sich die CD aufgehängt. Deshalb habe ich alle Trojaner löschen können, es sind aber trotzdem keine Logfils vorhanden. Habe nochmals mit der CD gescannt, kein Fund. Auch TDSSKiller, MBAM, Emisoft und MBR.exe haben nichts gefunden. Ich vermute mal, dass die Trojaner weg sind. Gibt es irgendweine Möglichkeit zu sehen, ob die Trojaner einen Port geöffnet haben?

Zitat:

ob die Trojaner einen Port geöffnet haben?

Geöffnet haben? Der jetzt geschlossen ist? Nein
Du weißt wir das mit den Ports funktioniert? :pfeiff:

KLick auf Malwarebytes => Reiter Logdateien. Alles posten was da ausgeflistet ist

Code:

 Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.19.02
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

********** [Administrator]
 

19.02.2012 16:52:36

mbam-log-2012-02-19 (16-52-36).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 0

Laufzeit: 7 Sekunde(n) [Abgebrochen]
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Das ist alles? :wtf:
Hat Malwarebytes nie was gefunden oder sind diese Logs nicht mehr da? Evtl. mit einem anderen Windowsbentuzer die Scans gemacht?

Gdata hat die Trojaner entdeckt, nicht Malwarebytes. Ich weiß es aber nicht ob es sie entdeckt hätte, da ich sie ja bei der ersten Erkennung gleich gelöscht habe.

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Der Eset Scanner hat auch nichts gefunden. Nur das mit dem Log funktioniert nicht richtig da kommt nur das: ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

Das hast du auch umgesetzt? => Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Leider nicht aber ich werde es jetzt nochmals ausprobieren.
Ist das aber wirklich so ausschlaggebend?

Ja wenn nicht, dann stehts es nur zur Deko da oder was? :(

Jetzt ist auch der zweite Scan mit Eset fertig.
Wieder kein Fund. Brauchst du dann das Logfile trotzdem?
PS: IE als Admin ausgeführt :D

Irgendwie glaube ich das System ist sauber aber du bist der Experte.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread