Bei Systemstart Trojaner mit Webcam (lsass.exe / ctfmon.lnk / Trojan.Delf)
 

Hallo Forum,

wir haben uns anscheinend einen Trojaner/Virus eingefangen.
Als wir heute unseren Rechner starteten wurde kurz der Desktop angeigt danach war der Bildschirm für ca. 5 sek. schwarz und im Anschluss sahen wir nur noch einen dubiosen Bildschirm der angeblich von einer Bundesbehörde sei und auf welchem wir aufgefordert wurden 100 Euro zu bezahlen.
Zu sehen war u.a. auch ein Bild unserer Webcam sowie diverser Werbung.
Ein umschalten auf den Desktop war nicht mehr möglich. Auch mit dem Taskmanager konnte ich nicht zum Desktop zurück.

Ich habe den Rechner im abgesicherten Modus gestartet und mit "msconfig" das Systemstartelement "ctfmon" im Autostart deaktivier (Die kam mir nachdem ich den Pfad gelesen habe sehr verdächtig vor). Im Anschluss konnte ich den Rechner wieder normal starten.

Meine Frage an euch ist: Reicht es wenn die Datei mit Malwarebytes gelöscht wurde oder sollte ich noch was andere machen.

Vielen dank.


Anbei noch der Scan:


Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.18.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Buran :: BURAN-PC [Administrator]

Schutz: Aktiviert

18.10.2012 19:28:42
mbam-log-2012-10-18 (19-28-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 320341
Laufzeit: 28 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Nochmals Hallo Forum,

anscheinend reicht das einfache Löschen nicht denn jetzt findet Malwarebytes sogar zwei üble Dateien

Malwarebytes Anti-Malware (Test) 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.10.18.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Buran :: BURAN-PC [Administrator]

Schutz: Aktiviert

18.10.2012 22:16:56
mbam-log-2012-10-18 (22-16-56).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216198
Laufzeit: 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart.
C:\Users\Buran\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus: