DR/Autoit.TC.115 und TR/FraudPack.ajcp
 

Hi,

bei meiner Freundin kamen kürzlich immer wieder WerbePopups, also die Browserfenster öffneten sich selbstständig. Das Problem hatte ich hier bereits geschildert. Ich habe dann mittels mbam einige infizierte Dateien entfernen können, jedoch bestand das Problem weiterhin.

Nun kamen nach dem Einschalten des PC mehrere Virenmeldungen von Avira Antivir:

DR/Autoit.TC.115 und TR/FraudPack.ajcp wurden erkannt.

Kann jemand helfen?

Hallo und Herzlich Willkommen! :)

Was bereits auf dem Rechner passiert:
Also einer Infektion mit einem Backdoor, man kann nie sicher sein, dass er zu 100 % weg ist und wo/wann er als nächstes auftaucht
Wichtig ist, dass du selbst bestimmst, welches Risiko du eingehen willst...besonders wenn du z.B Online-Banking machst usw
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft![/b]
• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

gruß
Coverflow

Ok, also hier erstmal das filelist-Log

Ccleaner-Log installierte Programme

Danke schonmal, ich mach nun den Scan mit F-Secure

EDIT

Hier nun das F-Secure-Log, jedoch wurde hierbei kein Fund angezeigt

Problem! Gmer lässt sich nicht ausführen. Nach dem Start läuft da ein Standardscan, den kann ich weder deaktivieren noch umgehen, jedes mal schmiert mir das Programm dabei schon ab

Ich habe nun mehrfach den Rechner komplett gescannt mit Antivir und dazu die agressiven Einstellungen angewandt.

Die im Titel erwähnten Viren/Trojaner tauchten hierbei nichtmehr auf, jedoch 2 neue.

In der Datei "aimpr.exe" befand sich offenbar "SPR/PSW.AdvancedPR.N"

Und in der "config.exe" vom DivX-Player das hier "PCk/Asprotect" (="Programm mit ungewöhnlichem Laufzeitpacker komprimiert").

Wie soll ich weiter verfahren und wie kann ich Gmer zum laufen kriegen? Bricht wie gesagt direkt nach dem Starten während des obligatorischen Standardscans schon ab. Gibt es eine Alternative?

hi

ansonsten kommen wir da durcheinander!;)

Ok, wenn Gmer nicht will...
1.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

2.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

Ok, also ich hoffe ich hab das mit RootRepeal richtig gemacht, konnte mir nämlich nur die einzelnen Reports speichern und habe die nicht zusammen geklatscht, damit es nicht zu unübersichtlich wird. "hidden services" wurden gar keine gefunden.

Drivers:


Stealth Objects:


MBAM hat 6 infizierte Dateien gefunden:


danach erneut durchlaufen lassen:



HiJackThis:


Filelist:

hi

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com

• auf deinem Desktop speichern
• per Doppelklick SDFix.exe starten
• wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
• starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
• öffne den neu entstandenen SDFix Ordner
• mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
• gib ein Y ein, um den Reinigungsprozess zu beginnen
• nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
• nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

SDFix:

Habe die Anweisungen befolgt, mit HiJackThis die 3 Einträge gefixt und anschließend mit Ccleaner die auszuführenden Aktionen durchgeführt.

Und hier noch die beiden Logs von RSIT

hi

1.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall sehr hilfreich sein können!

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!:[/u] muss auf dem Desktop installiert werden!
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Hallo an alle!
Bin neu hier und habe wohl das gleiche Problem erwischt.

1.: Ich habe Vista und wollte fragen, ob ich nach dem gleichen Muster vorgehen soll, wie der Themensteller hier?

2.: Wenn ihr schreibt, dass alle Programme während eines Scans beendet werden müssen, meint ihr dann auch die Programme, die im Hitergrund laufen (die ich im Taskmanager unter "Prozesse" finde)?

3.: Ich kenne mich mit Fachbegriffen sehr schlecht aus (das kann man wohl auch nicht so schnell beheben ;) )

Vielen Dank und viele Grüße, Lukcy

@Lukcy

http://www.world-of-smilies.com/wos_...ge/vertag0.gifAllgemeine Forenregeln: Neue Thread eröffnen!
Also bitte nicht in die Threads anderer User hineinposten,sondern suche dir das richtige Unterforum für deine Frage aus!
Dort "Neues Thema" auswählen und dein Problem so kurz und detailliert wie möglich beschreiben:)

gruß
Cf