Trojaner-Board - Trojan.Crypt und Trojan.Agent sicher entfernt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.Crypt und Trojan.Agent sicher entfernt? (https://www.trojaner-board.de/79461-trojan-crypt-trojan-agent-sicher-entfernt.html)

Trojan.Crypt und Trojan.Agent sicher entfernt?

Hallo,

da der Internet Explorer aufgrund der Datenausführungsverhinderung nicht mehr funktionierte wurde ich skeptisch und habe mir Malwarebytes' Anti-Malware runtergeladen und gestartet. Das Programm hat auch sofort was gefunden. Hier die Log-Datei:

Code:

 

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3176

Windows 5.1.2600 Service Pack 3
 

11/16/2009 8:12:31 AM

mbam-log-2009-11-16 (08-12-20).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 236306

Laufzeit: 4 hour(s), 28 minute(s), 30 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 5

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\vzlvkqkfti.exe (Trojan.Crypt) -> No action taken.

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K8CHPN8F\igdronaliinkesh91[1].exe (Trojan.Crypt) -> No action taken.

C:\WINDOWS\KB888111.log (Trojan.Agent) -> No action taken.

Ich habe die befallenen Dateien gelöscht. Was sollte ich als nächstes machen, um festzustellen, ob mein PC nun wieder sauber ist? Hijack This laden, durchlaufen lassen und Log posten?

Freundliche Grüße
muckfux

Hallo und :hallo:

Führe bitte CCleaner und RSIT aus.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo cosinus,

ich hab den CCleaner und RSIT ausgeführt. Anbei der Link zu den Logfiles:

http://www.file-upload.net/download-2016063/Logfiles.zip.html

Moin,

die Logs sind soweit unauffällig. Meld Dich nochmal wenn doch noch was gefunden wird.

Es gibt leider noch ein Problem. Ich kann meine PostgreSQL Datenbank nicht mehr öffnen. Es kommt folgender Hinweis:

Server doesn't listen
The server doesn't accept connections: the connection library reports
could not connect to server: Connection refused (0x0000274D/10061) Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 5432?
If you encounter this message, please check if the server you're trying to contact is actually running PostgreSQL on the given port. Test if you have network connectivity from your client to the server host using ping or equivalent tools. Is your network / VPN / SSH tunnel / firewall configured correctly?

Ich hab dann eine DSL Diagnose meiner FRITZ Box gemacht. Dann kommt folgender Hinweis:
Die Fritz Box hat keine Verbindung zum DSL Anschluss. Überprüfen sie die Kabelverbindung zw. Fritz box und Splitter.

Das ist alles richtig angeschlossen. Internet funktioniert ja auch. Ich poste mal den Anfang des DSL-Diagnoseprotokolls. Vielleicht kannst du da was erkennen

Code:

DSL-Diagnoseprotokoll

Dieses Protokoll wurde von der FRITZ!DSL Diagnose erstellt.

Diese Datei kann zur Erkennung technischer Probleme an den Hersteller weitergeleitet werden.

Hinweis: Diese Datei enthält keine persönlichen Anmeldedaten Ihres Internetzugangs.
 

  DATUM    UHRZEIT      QUELLE         BEREICH / ERGEBNIS

============================================================================================
 

Datei 'C:\Programme\FRITZ!DSL\\logs\FBoxDiag.log' konnte nicht göffnet werden.

============================================================================================
 

Datei 'C:\Programme\FRITZ!DSL\\access\access0.log' konnte nicht göffnet werden.

============================================================================================

C:\DOKUME~1\mib1\LOKALE~1\Temp\\ipconfig.txt
 
 
 

Windows-IP-Konfiguration
 
 
 
 
 

        Hostname. . . . . . . . . . . . . : mib
 
 

        Primäres DNS-Suffix . . . . . . . : 
 
 

        Knotentyp . . . . . . . . . . . . : Hybrid
 
 

        IP-Routing aktiviert. . . . . . . : Nein
 
 

        WINS-Proxy aktiviert. . . . . . . : Nein
 
 

        DNS-Suffixsuchliste . . . . . . . : fritz.box
 
 
 
 
 

Ethernetadapter LAN-Verbindung:
 
 
 
 
 

        Verbindungsspezifisches DNS-Suffix: fritz.box
 
 

        Beschreibung. . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
 
 

        Physikalische Adresse . . . . . . : 00-0A-E4-B8-CE-C8
 
 

        DHCP aktiviert. . . . . . . . . . : Ja
 
 

        Autokonfiguration aktiviert . . . : Ja
 
 

        IP-Adresse. . . . . . . . . . . . : 192.168.178.22
 
 

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
 
 

        Standardgateway . . . . . . . . . : 192.168.178.1
 
 

        DHCP-Server . . . . . . . . . . . : 192.168.178.1
 
 

        DNS-Server. . . . . . . . . . . . : 192.168.178.1
 
 

        Lease erhalten. . . . . . . . . . : Monday, November 16, 2009 7:49:55 PM
 
 

        Lease läuft ab. . . . . . . . . . : Thursday, November 26, 2009 7:49:55 PM
 
 

============================================================================================

C:\DOKUME~1\mib1\LOKALE~1\Temp\\route.txt

===========================================================================
 

Schnittstellenliste
 

0x1 ........................... MS TCP Loopback interface

0x2 ...00 0a e4 b8 ce c8 ...... Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport

===========================================================================
 

===========================================================================
 

Aktive Routen:
 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
 

          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.22          20
 

        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1          1
 

    192.168.178.0    255.255.255.0   192.168.178.22  192.168.178.22          20
 

   192.168.178.22  255.255.255.255        127.0.0.1       127.0.0.1          20
 

  192.168.178.255  255.255.255.255   192.168.178.22  192.168.178.22          20
 

        224.0.0.0        240.0.0.0   192.168.178.22  192.168.178.22          20
 

  255.255.255.255  255.255.255.255   192.168.178.22  192.168.178.22          1
 

Standardgateway:     192.168.178.1
 

===========================================================================
 

St„ndige Routen:
 

  Keine
 

============================================================================================

Zitat:

Es gibt leider noch ein Problem. Ich kann meine PostgreSQL Datenbank nicht mehr öffnen. Es kommt folgender Hinweis:

Das sieht nach einer ganz anderen Baustelle aus. Seit wann kannst Du da nicht mehr drauf zugreifen? Läuft die Datenbank auch wirklich auf Deinem Computer oder versuchst Du woanders drauf zuzugreifen?

Wenn die lokal auf Deinen Rechner laufen würde, bräuchtest Du keine Verbindung ins Internet. Check, ob die folgenden blau eingefärbten Werte wirklich richtig sind.

Zitat:

could not connect to server: Connection refused (0x0000274D/10061) Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 5432?

Vor 2 Tagen lief die Datenbank noch. Die Datenbank liegt eigentlich schon auf meinem Rechner. Aber wenn ich das Programm (Holdem Manager) starte, welches auf die Datenbank zugreift, dann kommt folgender Fehler:
The following error occured when trying to open the Database: Failed to establish a connection to 127.0.0.1

Es ist doch auch komisch, dass ich eine Verbindung zum Internet habe und mir die DSL-Diagnose sagt, dass die Fritzbox keine Verbindung zum DSL-Anschluss hat.

Ich habe davon leider so wenig Ahnung.

PostgreSQL un v.a. das Programm, das auf diese DB zugreift ist nicht mein Gebiet. Wer hat Dir das installiert, das warst Du doch nicht selber oder? ;)

Als erstes würde ich mal an Deiner Stelle schaun, ob der DB-Dienst läuft. Klick auf Start, Ausführen, services.msc eintippen, rechts in der Liste runterscrollen bis PostgreSQL (sinngemäß!) erscheint. Prüfen, ob der Dienst gestartet ist und der Starttyp auf automatisch steht. Wenn beendet einfach mit dem Button starten anknippsen.

PSQL habe ich aufgrund einer sehr guten Anweisungen aus einem anderen Forum installiert. Allein hätte ich das nicht hinbekommen. Der DB-Dienst läuft nicht. Ich habe jetzt 2 verschiedene Möglichkeiten probiert.
1. Freischalten bestimmter Dateien für PSQL in der Firewall
2. Deaktivieren der Firewall
Deinst startet einfach nicht. wenn das nicht dein Fachgebiet ist, dann möchte ich dich damit nicht beschäftigen. Da muss ich in anderen Foren nochmal schauen.

Ich hab da noch 2 andere Probleme.
Problem 1:
Ich hab Secunia-PSI installiert und einen Scan gestartet. Er hat 3 veraltete Softwares gefunden.
Einmal Quick Time Player (habe ich dann deinstalliert, brauch ich nicht),
dann iTunes und Adobe Flash Player 9.x. Ich habe dann versucht iTunes upzudaten. Download gemacht, Installation angestossen und dann kommt vom Windows Installer folgende Fehlermeldung: Dann System kann nicht vom angegeben Gerät lesen.
Was bedeutet das?

Problem 2:
Im Windows Explorer wollte ich einen Unterordner im Verzeichnis C:\Programme\Fritzbox\ öffen. Dann kam folgender Hinweis:
Der Datenträger in Laufwerk C: ist nicht formatiert. Soll er jetzt formatiert werden? Ja oder Nein.
Ich hab da vorsichtshalber mal auf Nein geklickt. Andere Ordner kann ich problemos öffnen und bearbeiten.
Was bedeutet diese Meldung?

Hab dann mit Antivir eine Komplettscan durchgeführt. Virus wurde keiner gefunden.

Zitat:

Zitat von muckfux (Beitrag 481604)

PSQL habe ich aufgrund einer sehr guten Anweisungen aus einem anderen Forum installiert. Allein hätte ich das nicht hinbekommen. Der DB-Dienst läuft nicht.

Wenn der Dienst nicht startet, ist irgendwas kaputtkonfiguriert. Welche Meldung erscheint, wenn Du den Dienst über "meine" Methode starten lassen willst?

Zitat:

Dann System kann nicht vom angegeben Gerät lesen. Was bedeutet das?

Da will das Programm auf irgendwas zugreifen was nicht verfügbar oder gesperrt ist. Wenn da nichts weiter steht, kann man nur raten, worauf der zugreifen will. (will ich jetzt aber nicht ;) )

Zitat:

Problem 2:
Der Datenträger in Laufwerk C: ist nicht formatiert. Soll er jetzt formatiert werden? Ja oder Nein.
Was bedeutet diese Meldung?

Diese Meldung macht so keinen Sinn und ist mir auch noch nicht untergekommen. Laufwerk C: ist das Systemlaufwerk auf dem auch Windows drauf ist und wenn Du in einen Pfad nicht reinkommst, müsste "Zugriff verweigert" oder so kommen.

Überprüf mal bitte das Dateisystem:

chkdsk der Systempartition unter Windows Vista

1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich
4. Tipp dort ein: chkdsk c: /f /r /v und bestätige mit enter.
5. Die folgende Abfrage mit j bestätigen und enter drücken.
6. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
7. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.