TR/Dldr.Agent.90112.1
 

Hallo,

ich habe heute den USB-Stick meines Mannes an meinen PC angeschlossen und daraufhin sofort eine Meldung meinen Guards bekommen. Ich nutze Antivir (free version).
Seitdem habe ich immer wieder Meldungen des Guards, diesen Trojaner (?) in verschiedenen Dateien gefunden zu haben.
Ich brauche den Rechner sauber, da ich ihn ab morgen wieder in der Firma verwenden muss, und der Stick meines Mannes muss auch gereinigt werden.


Speziell zu diesem Trojaner habe ich nichts ergooglen können, und somit erst einmal folgendes getan:

Vorab ein Scan mit Malwarebytes über den Stick, da wurde jedoch nichts gefunden.

1. Scan mit Antivir

2. CCleaner, dabei konnte jedoch nicht alles gefundene gelöscht werden.

3. Malwarebytes ohne Fund


4. HijackThis, hier kommt mir ein Eintrag unter O4 merkwürdig vor.


Wie soll ich nun weiter vorgehen? Es wäre schön, wenn ihr mir helfen könntet.

Liebe Grüße
Eiko

Hallo,

ich brauche wirklich dringend Hilfe!

Leider hat sich dieser Virus weiter verbreitet. Ich habe nun Dateien in C:\ und in WINDOWS unter C:\ , die offenbar direkt vom Trojaner stammen. Aber ich bekomme sie nicht gelöscht.

Diese Dateien sind folgende:
C:/ARK32.vir (ich habe sie umbenennen lassen)
C:/WINDOWS/wiaservc
C:/WINDOWS/wiadebug
C:/WINDOWS/WindowsUpdate

Und bestimmt liegen irgendwo noch mehr :(


Wie bekomme ich den Trojaner mit allen dazugehörigen Daten runter?
Ich brauche morgen dringend eine Präsentation dieses Laptops und auch unserer USB-Sticks (ich habe meinen wahrscheinlich inzwischen auch infiziert) brauchen wir dringend.

Entschuldigt, ich bin es nochmal.

Ich habe nun ein zusätzliches Problem, ich kann keine neuinstallierten Programme mehr ausführen. Mein Rechner meldet dann immer, dass die xxx.exe Datei nicht gefunden werden kann.

Bitte, was ist da los, ich traue mich nichts mehr.

Hallo und :hallo:

1.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart

2.) Falls du irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo John.Doe,

ich danke dir sehr für deine Antwort. :) Das gibt mir Hoffnung, dass doch noch nicht alles verloren ist.

Ich habe allerdings noch eine Frage:

Soll ich diese auch markieren? Sind da nicht wichtige dabei?

Ich werde mich dann mit dem Ergebnis wieder melden.

Die betreffen alle den MSIE und damit sollte sowieso niemand surfen. :)

Passt schon. ;)

ciao, andreas

Guten Morgen Andreas,

ich habe nun eben Combofix ausgeführt und das ist das log:



Wie sieht es aus?

Liebe Grüße zum Wochenstart
Eiko

Schädlinge sehe ich noch keine, aber das hier gibt mir zu denken:

1.) Warum hast du das Fixen nicht durchgeführt?

2.) Die beiden Programm OriginLab und ChemOffice2004 deuten auf professionellen Einsatz des Laptops hin.

3.) Das gilt auch für die Aussage:
ciao, andreas

Hallo Andreas,

ich habe gefixt und anschließend neugestartet. Weshalb die Einträge noch da sind, weiß ich nicht. Habe heute noch einmal HijackThis durchgeführt und bis auf die Trojanerdatei alles nach wie vor drin. Verstehe auch nicht wieso.

Ich nutze den Rechner quasi- professionell, bis ich einen Rechner in der Firma habe. Ich habe erst vor kurzer Zeit dort angefangen. Die beiden Programme sind Überbleibsel meines Studiums.
Macht das irgendwelche Probleme?

Und ich habe beim Durchführen von Combofix die beiden USB-Sticks am Rechner gehabt, sind die jetzt auch bereinigt worden oder muss ich dazu nocheinmal etwas seperat durchführen?

Es ist eigentlich mein Privatlaptop.

Ich muss dir nocheinmal meinen Dank aussprechen, dass du mir so gut hilfst. Danke schön!

Grüße
Eiko

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Hallo Andreas,

ich habe es in den letzten Tagen nicht geschafft, mich zu melden, da ich mit meinem Kind im Krankenhaus bin.

Hier die zwei Logs, ich hoffe, du schaust sie dir noch an.
Danke.

Log:

info teil1
 

info teil 2
 

Hallo Ina,

kommen denn noch Meldungen von Avira? Ich kann beim besten Willen nichts finden.

Wir können noch mit einem zweiten Scanner kontrollieren:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Oder auf Verdacht nach Rootkits suchen:

GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

p.s.: Ich wünsche gute Besserung. :)

Hallo Andreas,

nein, Avira findet nichts mehr. Auch wenn ich manuell ein bisschen drüber gucke, finde ich nichts mehr.

Also da bin ich jetzt beruhigt und spreche meinem Mann nochmal USB-Stick-Verbot aus ;)
Wie sieht es mit denen denn nun auch? Kann ich meinen USB-Stick bedenkenlos wieder verwenden? Hatte Combofix auch die Sticks mit gereinigt?

Ein schönes Wochenende wünsche ich
Eiko

P.S. Danke für die Besserungswünsche.