Trojaner-Board - Probleme mit der Google-Suche

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit der Google-Suche (https://www.trojaner-board.de/71672-probleme-google-suche.html)

Zitat:

Soll ich trozdem das "combofix /u" ausführen?

Ja.

Zitat:

Und das Problem mit den Laufwerken, hast du dorf villeicht einen Lösunsvorschlag?

Nein. Primär ist erstmal ein sauberer Rechner. Kleinigkeiten werden zum Schluss erledigt oder von den Helfern im Windows-Unterforum.

ciao, andreas

So Malwarebytes ist fertig. 2 der Ergebnisse sind mit der Deaktivierung der Wiederherstellung schon weg. Und alle nochmal durch Malwarebytes entfernt.
Werde nachher den Rest laufen lassen.
combofix /u funktioniert nicht, es findet nichts entsprechendes (heisst es).
bis morgen kommt dann noch der Kasperky Report.

Gruss
black messiah

Log:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1939

Windows 5.1.2600 Service Pack 2
 

04.04.2009 19:30:05

mbam-log-2009-04-04 (19-30-05).txt
 

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|Q:\|R:\|S:\|T:\|U:\|)

Durchsuchte Objekte: 362794

Laufzeit: 3 hour(s), 34 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{23251071-0CEA-497D-8CBB-C76735F62D86}\RP1216\A0167184.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{23251071-0CEA-497D-8CBB-C76735F62D86}\RP1216\A0167194.exe (Adware.Cinmus) -> Quarantined and deleted successfully.

C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Kontrolliere, ob es einen Ordner C:\Qoobox gibt.

ciao, andreas

Hallo

Ja einen solchen Ordner gibt es tatsächlich.
Was soll ich damit tun?

Gruss
black messiah

1.) Lösche die Ordner:

C:\Qoobox
C:\ComboFix
c:\windows\ERDNT

Sowie die Datei:

C:\ComboFix.txt

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden.

3.) Lassen sich die Laufwerke noch immer nicht öffnen? Was passiert, wenn du im Windowsexplorer die Laufwerke anklickst? Gibt es im Rootverzeichnis eine versteckte Datei desktop.inf?

ciao, andreas

Also zu:

1) Alle Ordner gelöscht, bis auf C:/Combofix, welcher nicht existiert.

2) erledigt.

3) Die Laufwerke lassen sich mit einem Doppelklick der linken Maustaste nicht öffnen (statt dessen öffnen sich i einem neuen Fenster die Eigenen Dateien). Jedoch mit einem Rechtsklick und dann Öffnen geht es problemlos. Und die Datei desktop.inf gibt es nicht.

So nebenbei: Kasperky Online Scan ist am laufen. Also bald kommt dann der Report.

Gruss
back messiah

Dann warte ich noch 2 Minuten. :D

ciao, andreas

2 Tage wäre realistischer...im ernst wohl eher 2-3 Stunden

So nebenbei:

Auf meinem anderen Computer meldet sich seit neustem Antivir mit einer Meldung, dass in einer Datei Namens C:/Windows/system32/servises.exe (genau mit s!) einen Trojaner Namens TR/Crypt.ZPACK.Gen findet (Guard). Ich klicke jedesmal auf zugriff verweigern. Wie mir scheint hat er sich noch nicht ausgebreitet. was soll ich tun? oder geört dies in einen eigenes Thema?
Edit: mache auch dort eine vollständige prüfung mit antivir (ist am laufen).
Gruss
black messiah

Zitat:

oder geört dies in einen eigenes Thema?

:daumenhoc Ja, das tut es.

ciao, andreas

So Kasperky Online Scan ist auch fertig:

Log:

Code:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

 Monday, April 6, 2009

 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

 Kaspersky Online Scanner 7 version: 7.0.25.0

 Program database last update: Sunday, April 05, 2009 19:17:26

 Records in database: 2015658

--------------------------------------------------------------------------------
 

Scan settings:

        Scan using the following database: extended

        Scan archives: yes

        Scan mail databases: yes
 

Scan area - My Computer:

        A:\

        C:\

        D:\

        F:\

        G:\

        K:\

        Q:\

        R:\

        S:\

        T:\

        U:\
 

Scan statistics:

        Files scanned: 269306

        Threat name: 6

        Infected objects: 18

        Suspicious objects: 0

        Duration of the scan: 05:28:31
 
 

File name / Threat name / Threats count

Q:\Eigene Dateien\eigene programme\vtp4.zip        Infected: not-a-virus:RiskTool.Win32.CloseApp.a        2

Q:\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.NewDotNet        1

Q:\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:WebToolbar.Win32.WhenU.a        1

Q:\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: Trojan-Downloader.Win32.Small.bke        1

Q:\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.WebRebates.r        1

Q:\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.WebRebates.p        3

S:\backup\Eigene Dateien\eigene programme\vtp4.zip        Infected: not-a-virus:RiskTool.Win32.CloseApp.a        2

S:\backup\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.NewDotNet        1

S:\backup\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:WebToolbar.Win32.WhenU.a        1

S:\backup\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: Trojan-Downloader.Win32.Small.bke        1

S:\backup\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.WebRebates.r        1

S:\backup\Eigene Dateien\eigene programme\wallpapers\stnemesisenterprise.exe        Infected: not-a-virus:AdWare.Win32.WebRebates.p        3
 

The selected area was scanned.

Die gefundenen Sachen sind Uralte Install/Setup-Dateien, die ich nie gestartet habe (sind von einem alten Pc irgendwie übrig gebliben). Daher geht von ihnen keine Gefahr aus und ich habe sie zudem auch gerade gelöscht. (werde dann nachmal scannen später.)
Wies aussieht ist der Pc nun Virenfrei...Danke für die Hilfe!

Das einzige was jetzt noch bleibt wäre das Problem mit den Laufwerken (also nur vie Rechtsklick und Öffnen, sonst erscheinen die eigenen Dateien.

Gruss
black messiah

Zitat:

Was passiert, wenn du im Windowsexplorer die Laufwerke anklickst?

ciao, andreas

Wenn du in der linken Ordnerliste meinst, dann öffnet sich das Laufwerk ganz normal/problemlos. Ebenso über Rechte Maustaste öffnen im Arbeitsplatz. Programme können ebenso auf alle Laufwerke zugreifen (hab 5-6 ausprobiert...).
Nur hald Arbeitsplatz -> Doppelklick funktioniert nicht richtig....

Danke hat super funktioniert.
Jetzt ist alles wieder in Ordnung bei meinem Computer.

Und ich prüfe nochmal mit Antivir und Kasperky. (sicher ist sicher...)

Danke für deine kompetente und schnelle Hilfe!

Gruss
black messiah