TrojWare.JS.Agent.IL in AdAware eingenistet?
 

Hallo,

ich habe mir evtl. o.g. Schädling eingefangen, der sich anscheinend in AdAware eingenistet hat. Über welchen Weg ich ihn bekommen habe, weiss ich nicht, aber außer Surfen fällt mir nichts ein. Hatte zwar auch noch ein Torrent-Programm installiert, aber seit einiger Zeit nicht genutzt (habe es jetzt auch deinstalliert, da ich es nicht mehr brauche).

Beim normalen Nutzen des PCs wird die Malware regelmäßig neu gefunden und in die Quarantäne verschoben, aber beim kompletten Scan taucht er in starker Zahl wieder auf. (Comodo Internet Security Premium). "AdAware Free Antivirus" findet den Trojaner gar nicht.

Bei Comodo heißt die Malware stets "TrojWare.JS.Agent.IL@296967884", aber wird in Dateien mit solchen Dateinamen gefunden:
C:\Users\Frank\AppData\Local\adaware\data\130425171830-f.list
C:\Users\Frank\AppData\Local\adaware\data\130425154609-f.list
C:\Users\Frank\AppData\Local\adaware\data\130425151520-f.list
(aber auch schon in C:\Users\Frank\AppData\Local\adaware\data\temp.zip oder in den Temporary Internet Files)

Die Frage ist jetzt natürlich, ob sich da ein Programm bei AdAware eingenistet hat oder ob das nur ein Fehlalarm von Comodo ist!
Habe über Google leider keine Hinweise gefunden, dass jemand solch ein Problem schonmal hatte.

Mein erster Gedanke ist natürlich einfach AdAware zu deinstallieren, aber wollte da jetzt erst eine Expertenmeinung hören.

Habe die geforderten Programme runtergeladen und Tests ausgeführt. Folgend die Ergebnisse:

OTL.txt
Extras.txt
Gmer habe ich wie beschrieben (ohne Netzzugang oder AV-Programmen) ausgeführt, aber nach ca. 30 Minuten brach der Scan mit einem Bluescreen ab.
Hier die Windows-Nachricht nach dem Neustart:
Wenn ich was aus einer der Dateien posten soll oder den Scan einfach nochmal probieren soll, sagt bescheid.

Schonmal vielen Dank für eure Mühe.
Ich hoffe, euch nicht zu viele Umstände zu machen! ;)

Ciao
Frank

Hallo Frank ich bin smeenk und ich werde versuchen dir mit deinem Problem zu helfen :)


Systemscan mit ZOEK

Bitte lade die zoek.exe von hier: http://hijackthis.nl/smeenk/

• Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
• Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
• Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".
• Klicke auf "Options" und wähle die folgenden Optionen aus:
  • Recently Created
  • Startup Information
  • Firefox Look
  • Chrome Look
  • System Restore Point
  • Auto Clean
• Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
• Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
  Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
• Poste mir das Log File zoek-results.log

Bitte poste in deiner nächsten Antwort:

• Log von zoek

Schonmal vielen Dank für die schnelle Antwort und die weiteren Instruktionen, aber leider kann ich nicht viel vorzeigen...

Beim Programmstart meldet Zoek, dass in Zeile 56 nicht genug memory zur Verfügung steht. Nach Click auf "Run Script" kommt die gleiche Meldung mit anderer Zeilennummer. Habe das ganze auch zweimal nach Neustart probiert, aber es bringt nichts. (Ich habe 4GB RAM verbaut, falls die Info von Belang ist.)

Dafür zeigt mir seit dem (vor)letzten Neustart nun auch AdAware Bedrohungen an. Um genau zu sein 4 mal die gleiche: "Trojan.Win32.Generic!BT", jeweils in Quarantäne gestellt.
Dafür hat Comodo seit heute nachmittag keine neue Bedrohung gemeldet. Auch wenn ich glaube, dass das jetzt nicht zur Freudennachricht taugt... :rolleyes:.

Hoffe einfach mal, dass du da noch ne andere Idee hast!

Ciao (und gute Nacht)
Frank

Versuch es noch einmal mit nur diese Optionen angehakt:

• Recently Created
• Startup Information
• Firefox Look
• Chrome Look
• Auto Clean

Wenn es wieder der Hta-fehler gibt dann bitte hier melden, wir werden uns dan etwas anderes ausprobieren

Gruß
Smeenk

Da du schon so lange aufgeblieben bist, um mir zu antworten habe ich das auch gemacht.
Habe zwar noch eine Windows-Fehlermeldung bekommen (s. anhängendes Bild), ich konnte jedoch auf "Ausführen" klicken und es lief.

Hier das Log:
Stör dich nicht an den vorherigen Scans. Ich war zu müde um zu erkennen, dass er wirklich am Scannen war. ;)

Dann bin ich mal gespannt, was du jetzt rausfindest.

Gute Nacht (jetzt aber wirklich)
Frank

Der Skriptfehler wird wahrscheinlich verursacht weil Zoek versucht Systemwiederherstellung zu aktivieren.
Sieht aus dass sich da ein Problem vor tut.

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So richtig leicht scheint es für keines der Programme zu sein. Hatte Fehlermeldungen zu Hauf.
Hier eine Kurzansicht:

- Unable to create file
C:\Windows\Hiv-backup\ERDNT.INF

- Error saving file
C:\Windows\erdnt\Hiv-backup\SYSTEM
Continue with next file?

- Die gleiche Meldung mit folgenden Pfaden:
C:\Windows\erdnt\Hiv-backup\SOFTWARE
C:\Windows\erdnt\Hiv-backup\DEFAULT
C:\Windows\erdnt\Hiv-backup\SECURITY
C:\Windows\erdnt\Hiv-backup\SAM
C:\Windows\erdnt\Hiv-backup\BCD

Danach nochmal die "Unable to create"-Meldung mit den Pfaden
C:\Windows\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
C:\Windows\erdnt\Hiv-backup\Users\00000002\NTUSER.DAT
C:\Windows\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
C:\Windows\erdnt\Hiv-backup\Users\00000004\NTUSER.DAT

Habe alle Anfragen immer mit "Ja" bzw. "Weiter" beantwortet.

Am Ende öffnete sich ein Texteingabefeld mit der Meldung, dass die c.bat nicht gefunden oder falsch geschrieben sei (s. angehängter Screenshot)

Eine C:\Combofix.txt wurde nicht erstellt (auch nicht nach Neustart).
Dafür eine Datei mit Namen Start_cmd mit folgendem Inhalt:
Zusätzlich ist auch noch ein Ordner C:\COMBOFIX\ erstellt worden. Wenn du Inhalte hieraus brauchst sag bescheid.

Anscheinend ist hier mehr los :(

Versuchen wir etwas anderes:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Habe erstmal MBar ausgeführt. Habe anfangs die eine Frage bekommen (siehe angehängtes Bild), die ich (dem Hinweis entsprechend) mit "Nein" beantwortet. Gefunden hat das Programm anschließend nichts.

Falls ich das Programm nochmal starten und mit "Ja" antworten soll, sag bescheid.

TDSSKiller war dafür erfolgreicher beim Suchen:

Es ist mir immer noch nicht klar ob da wirklich etwas schlimmes los is.

Versuch Combofix zu drehen im Abgesicherten Modus:
Starten des Computers im abgesicherten Modus

Im abgesicherten Modus war es deutlich erfolgreicher!
Zwar hat er gemeckert, dass Comodo und AdAware auf wären, aber das nahm er auch an nachdem ich alle Dienste im Task-Manager geschlossen hatte. Er hat mir das auch nur noch mitgeteilt und die Prüfung so oder so begonnen. War eher eine Information als eine Frage. ;)

Hier die ComboFix.txt:

Öffne nochmal ZOEK und kopiere untenstehende Code in das Textfeld:

Drucke "Run Script".

Poste mir das neue Log von Zoek.

Log ist zu lang zum Posten und zu groß zum Anhängen als log-Datei (250k).
Hänge es deshalb als Zip an.

Öffne nochmal ZOEK und kopiere untenstehende Code in das Textfeld:

Drucke "Run Script".

Poste mir das neue Log von Zoek.

Neu
Ohne wirklich zu wissen, was da drin steckt: Sieht doch mal nach mehr Erkenntnissen aus. :daumenhoc
Und weil ich nicht will, dass es untergeht wiederhole ich mich auch gerne: Danke für die Mühen. :D