Trojaner-Board - Malwarebytes Report

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malwarebytes Report (https://www.trojaner-board.de/69148-malwarebytes-report.html)

Malwarebytes Report

Hallo zusammen,

gestern hatte ich Euch mein Problem mit dem Windows Security Service mitgeteilt und habe auch sofort eine Lösung bekommen.
Ich sollte das mit Malwarebytes nach Anleitung bekämpfen. Habe ich gemacht und die Warnungen sind weg. Danke an Angier.

In der Anleitung steht, ich soll, nach dem die Dateien gelöscht sind, den Report posten. Nun weiß ich nicht ob das hier der richtige Ort ist. Habe das Forum nach passenden Themen durchsucht, aber nicht passendes gefunden.

Also versuche ich es hier. Es scheint so, das der Report VOR dem löschen der Dateien gemacht wurde, da laut des Reports noch einige Dateien infiziert sein sollen.

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1695
Windows 5.1.2600 Service Pack 2

26.01.2009 08:56:26
mbam-log-2009-01-26 (08-56-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 200050
Laufzeit: 1 hour(s), 30 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\11282341607741078074160913629226 (Rogue.Antivirus 2009) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Antivirus 2009 (Rogue.Antivirus 2009) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Startmenü\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP83\A0018762.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP83\A0018763.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP83\A0018764.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP83\A0018765.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2009\av2009.exe (Rogue.Antivirus 2009) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Startmenü\Antivirus 2009\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ieupdates.exe.tmp (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\TDSS69aa.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.

Hoffe Ihr könnt mit dem Report etwas anfangen und mir weiterhelfen was jetzt zu tun ist? Wie gesagt, die Popups sind weg, aber ist die Malware auch vom Rechner entfernt???

Warum machst du denn einen neuen Thread auf??

http://www.trojaner-board.de/69114-auswertung-der-hijackthis-logdatei.html

Ab jetzt geht's hier weiter.

Panda AntiRootkit

Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
Starte die PAVARK.exe durch einen Doppelklick.
Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
Bereinige die Funde anschließend!

Blacklight

Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe den Rechenr danach mit SuperAntiSpyware und poste das log. Hier! ;)