Windows XP: Antivir findet 5 Trojaner/Viren
 

Hallo :),
bin ganz neu hier und brauche Hilfe/Rat beim entfernen von mehreren Trojanern/Viren.
Der Medion-Laptop der befallen ist gehört mir nicht selber sondern ist von der Mutter meines Freundes. Weil sie nicht mehr ins Internet konnte habe ich ihr angeboten mal danach zu schauen.
Habe einen gründlichen Scan mit Antivir gemacht und des wurden 5 Trojaner bzw. Viren gefunden. Meine Frage ist nun: wie soll ich weiter vorgehen?
Achja ein kleines Problem könnte sein, das das Betriebssystem Windows XP ist, da es ein sehr altes Laptop ist.
Wäre echt toll wenn mir jemand helfen könnte.
Achja: In Sachen Logs erstellen bin ich absoluter Laie.

Hallo und :hallo:

Hallo Cosinus.
Vielen Dank fürs Willkommen heißen.
Mit anderen Worten kann ich es vergessen diesen Laptop zu bereinigen, weil noch
Windows XP drauf ist? Ein anderes Betriebssystem wäre leider nicht kompatibel.

Wer sagt das?

Ein Bekannter von uns. Er macht irgendwas mit IT oder so. Auf jeden Fall kennt er sich aus er wollte windows 7 draufspielen, aber leider hat das nicht funktioniert.
Solltest du diesbezüglich anderer Meinung sein oder eine Idee haben, fände ich es super wenn du es mir mitteilen würdest.

Es kommt drauf an was für Hardware du hast...

Wenn auf deiner Kiste WinXP läuft, stehen die Chancen eigentlich gut, dass auch Win7 läuft.

Sehen wir mal:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hm mache ich irgendwas falsch? Der Scan ist durchgelaufen aber auf dem desktop befinden sich keine log dateien. Nur unter downloads. hätte ich FRST auf dem desktop speichern müssen? Ohman natürlich sorry wer lesen kann ist klar im Vorteil. Ich lade es nun nochmal herunter. So jetzt hat es geklappt hier die FRST.txt:

FRST Logfile:
--- --- ---


und hier die Addition.txt

Sry dein Beitrag ist irgendwie durchgerutscht :dummguck: :schmoll:

Aber du hast recht, die Hardware ist grenzwertig. Ich bin mir jetzt nicht ganz sicher, ob du Win7 so installiert bekommst, die Pentium4-CPU ist kein Problem aber das halbe Gigabyte RAM ist zuwenig. AFAIK verlangt Win7 mindestens 1 GB RAM

Aber selbst wenn du mehr RAM hast, wo wirklich Spaß wird die Kiste mit der Hardware nicht machen, Alternative wäre ein schlankes Linux wie zB Lubuntu auf diesem Rechner oder du entsorgst ihn endlich mal

Ist kein Problem :), habe geduldig gewartet und weiß ja das ihr auch ein Berufs- und Privatleben habt.

Mit dem Laptop wegwerfen ist nicht ganz so einfach, da es nicht meiner ist :D.
Habe ja noch die Hoffnung das ich zumindest noch die Trojaner wegbekomme damit er wenigstens für ein halbes Jahr noch einigermaßen gescheit läuft. Dann wird er eh entsorgt.
Aber ich fände es halt blöd, wenn ich der Person den Laptop so verseucht wieder zurückgeben würde.
Deshalb hoffe ich das du mir in der Sache noch weiterhilfst und warte auf weitere Anweisungen :D.

Ok, dann komme er her, der General Bergfrühling :blabla:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!

so hier ein log von antivir

Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

so combofix is fertig hier das log:

sollte ich den laptop neustarten?

Ein Reboot schadet nicht.

Adware/Junkware/Toolbars entfernen

(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!)

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Wow danke für die späte Antwort :).
Okay folgendes: Vor dem weiteren ersten Schritt den du eben gepostet hast, habe ich einen reboot gemacht. Folgendes steht als fehlermeldung auf dem desktop:

RegSvr32
LoadLibrary("C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EqwiYxeju.dat") fehlgeschlagen - Das angegebene Modul wurde nicht gefunden.

darunter steht nur die schaltfläche OK
Wie soll ich weiter verfahren?

Weitermachen mit den drei Schritten

ich hoffe es ist okay wenn ich die logs einzeln poste? Also in 3 antworten oder soll ich meine antwort dann noch bearbeiten? hier schonmal vom adwcleaner:

und hier direkt JRT Log hinterher:

So und zu Guter letzt nochmal ein FRST Log.
Aber ich musste FRST nicht nochmal extra downloaden oder?


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Bitte auch ne neue Addition.txt erstellen, dazu FRST starten und einen Haken setzen bei Addition.txt, dann auf Scan klicken.

http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png

ups sorry na dann hier nochmal: FRST


FRST Logfile:
--- --- ---


und Addition txt

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

das tool erstellt doch aus der vorhandenen fixlist.txt datei die Fixlog.txt datei oder?
hier die Fixlog

Virenscanner deaktivieren, Fix wiederholen

so hier nochmal Fixlog diesmal mit deaktiviertem Avp sorry.

Okay, dann Kontrollscans mit MBAM und ESET bitte:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mal ne blöde frage: Für MBAM muss ich ja diesen Pfad auswählen.
C:\Users\Bootsektor\Downloads.....
den gibt es aber nicht wo genau soll ich MBAM dann speichern?

Anleitung lesen hlft ;)

ich hab zwar trotz der anleitung keinen plan ob das richtig ist aber ich hab MBAM jetzt ganz normal auf den desktop runtergeladen und dann beim installieren in diesen pfad installiert C:\Users\Bootsektor\Downloads... also hab ich einfach erstellt wenn der fragt wo ich das hininstallieren will.... ich hoffe das war richtig weil irgendwie hab ichs net gecheckt

hier die MBAM.txt
eset log.txt

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

hier fixlog.txt

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ist aber nur optional. Um Usertracking zu verhindern kann man gut die Firefox-Erweiterung Ghostery verwenden.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hey Cosinus,
vielen Dank nochmal für Deine Mühe. :dankeschoen:
Allerdings werde ich den Laptop wohl entsorgen müssen.
Der ist so langsam und findet trotz der Mühen die wir aufgebracht haben
noch immer Viren/Adware oder weiß der Geier was auch immer.
Hab einfach keinen Bock mehr. Da reißt man sich so den A..... auf und letzendlich kommt
da doch nix gescheites bei rum.
D.h ich werde ihn einfach :killpc:
Hast du vllt. irgendwelche Tipps wie ich sicher sein kann das niemand an irgendwelche Daten
kommen kann? Festplatte physikalisch zerstören oder so?
Wäre für die letzten Tipps für diesen Schrotttop dankbar.

Ich habs ja von Anfang an gesagt, dass die Hardware grenzwertig ist...

Bevor du es entsorgst würde ich diesem Notebook eine 2. Chance mit Linux geben

okay und wie wo was? Ich hab keine Ahnung und davon sehr viel... :)
Ich kann mir nur vorstellen das es ein Betriebsprogramm sein könnte? :D

Für alte Hardware würde ich zuerst Lubuntu testen...