Backdoor.Agent und Worm.AutoRun entdeckt - gelöscht - aber trotzdem wieder da
 

hallo,
habe auf meinem acer aspire 5930 mal den ccleaner und dann das malwarebytes Anti-maleware laufen lassen. dabei wurden beim letzteren 3 infizierte dateien gefunden. habe sie gelöscht und nochmal malwarebytes durchlaufen lassen und siehe da, die gleichen 3 dateien erscheinen erneut. was kann ich tun???

log:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2750
Windows 6.0.6002 Service Pack 2

07.09.2009 13:46:30
mbam-log-2009-09-07 (13-46-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 213815
Laufzeit: 1 hour(s), 0 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Public\Favorites\netservice.exe (Backdoor.Agent) -> Delete on reboot.
C:\Users\Public\Favorites\NginuL_na.exe (Worm.AutoRun) -> Delete on reboot.
C:\Users\Public\Favorites\plug\001.dll (Backdoor.Agent) -> Delete on reboot.


Natürlich hab ich auch gleich mal die Sache mit RSIT gemacht und die beiden txt.-datein in den Anhang gepackt.

Kann mir jemand erklären was da auf meinem notebook so vor sich geht u wie ich den Schaden wieder beheben kann??

Vielen Dank im Voraus

tinar

Hallo,

mach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

[/QUOTE]

hallo arne,
danke für deine antwort. habe jetzt deine anweisungen befolgt. hier der log:


vielen dank für ein bemühen

tinar

Ok. Bitte einen weiteren Durchlauf mit RSIT und MalwareBytes.

guten abend,
so hab malwarebytes u rsit nochmal durchlaufen lassen:

Das war jetz mal malwarebytes... im nächsten beitrag gibts noch den log von rsit.

und wie versprochen der log von rsit vom 2. durchlauf - muss diesen aber auf 2 beiträge aufteilen

und der dritte teil...

eine neue info-datei hat sich bei rsit jetzt nicht mehr aufgetan!?!?!

liebe grüße
tinar

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://mitglied.lycos.de/efunction/tb/avenger.png

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

[/QUOTE]

guten morgen,

hab das mit dem avenger jetz gemacht.

liebe grüße
tinar

*hmpf* das war nicht so erfolgreich...
Mach das gleiche bitte nochmal mit dem Avenger, nur diesmal dieses Script hier benutzen:

so habs nochmal mit dem anderen input gemacht...

gruß tinar

Moin,

das hat alles schon seine Richtigkeit. John.Doe hat mir eben per PN mitgeteilt, dass MalwareBytes anscheinend etwas "findet" was garnicht mehr da ist.

abend,

na dann kann ja heut mal beruhigt schlafen :singsing:

vielen dank für alles!!!!!

Achso, hier noch der Link dazu => http://www.trojaner-board.de/75770-info-falschmeldung-malwarebytes.html

leider ist es mir nicht erlaubt den link u öffnen....

liebe grüße tinar