merkwürdige Dateien im Autostart
 

das Bild was im Anhang ist zeigt meinen Autostart im CCleaner.
Ich hatte mir letztens ein paar viren eingefangen und seitdem sind da merkwürdige progamme drin. Ich kann leider nicht zuordnen, was es ist. ich weiß das noch viren drauf sind aber ich kann sie nicht finden.
hoffe auf viel Hilfe :(
danke im vorraus

ps.: abgesehen von Avira und Nero kann ich von den schwarzen einträgen nichts zuordnen.
achja hab windows XP 32 bit
alles andere einfach fragen

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Ich kann die Texte zwar einfügen, aber wenn ich abschicken will, wird der Server zurückgesetzt.
So war es schonmal bei dem Versuch ein Hijack reinzuposten.

Währrend des Suchlaufs sagte Avira:

Kannst Du die Logfile bei File-Upload.net hochladen und mir den Downloadlink posten ?

hxxp://www.file-upload.net/download-2581538/Extras.Txt.html
bzw
hxxp://www.file-upload.net/download-2581535/OTL.Txt.html

Hy,
WIr benötigen für die nächsten Schritte Adminstrative Rechte.


Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
Log von OTLfix
Gmer.txt
OTL.txt

Das kam nach dem Neustart:

GMER Logfile:
GMER Logfile:
--- --- ---
[/CODE]
--- --- ---


Hier noch die Otl.txt datei: hxxp://www.file-upload.net/download-2581723/OTL.Txt.html
wenn du die extras.txt datei brauchst sag bescheid.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

woa das war gruselig^^
Kannst du mir in Nachhinein kurz zusammengefasst erklären, was war, was wir gemacht haben und was jetzt ist?
Combofix Logfile:
--- --- ---

Na willkommen Mebroot -.-

Was spricht gegen ein Formatieren ?

(Anleitung by myrtille)

Schritt 1

Lade Dir bitte folgendes Programm runter und führe es aus: profiles.exe
Es erstellt eine Textdatei, bitte kopiere den Inhalt in deine nächste Antwort.


Schritt 2

Bitte führe auch folgendes aus:
Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat.

Es sollte sich eine Textdatei öffnen, bitte kopiere auch den Inhalt dieser Datei in deine nächste Antwort.

hier numer 1
hier die nummer 2
wie meintest du das mit dem formatieren?
alles?
ich brauch die daten :)

weiß nich ob ich heute noch mehr schaffe...

du hast dir die neueste Variante von Mebroot/Sinowal eingefangen. Als erstes möchte ich daher sagen, dass es sich dabei um einen Backdoor trojaner handelt, sprich andere konnten auf deinen Rechner zugreifen, deine Passwörter auslesen und Einstellungen verändern.

Der Befall ist ein Rootkit und versteckt sich im Master Boot Record, nur sehr wenige Programme, in der Regel spezialisierte Programme, können diesen Befall derzeit sehen.

Das sicherste ist in solchen Fällen immer neuaufzusetzen, wir können dir aber helfen die Überreste des Befalls zu entfernen, wenn du nicht Neuaufsetzen willst.

Falls du Bereinigen dem Neuaufsetzen vorziehst, würde ich gerne Folgendes versuchen:

Downloade HelpAsst_mebroot_fix.exe und speichere das Tool auf Deinem Desktop.
Schließe alle Programme und Fenster.
Doppelklicke das Tool und folge den Anweisungen.
Sollte das Tool noch eine MBR-Infektion finden, erlaube mbr -f laufen zu lassen und den Computer neu zu starten.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.


Wenn das Tool während des ersten Laufs keine MBR-Infektion gemeldet hat:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

mbr -f

Starte den Computer neu.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

das kam raus
könnte dieser Virus über unser Heimnetzwerk auf einen anderen Pc (beide am gleichen Modem) zugreifen?

Zu deiner Frage, Ja könnte er

Schritt 1

Starte den PC bitte neu auf. Im BootMenu solltest Du nun neben deinem Betriebssystem den Eintrag Wiederherstellungskonsole finden. Wähle diesen mit Hilfe der Pfeiltasten aus und bestätige mit Enter.

Nun sollte sich ein schwarzes Fenster öffnen wo folgendes zu sehen ist
C:\windows:>

Hier bitte fixmbr eingeben und Enter drücken. Mit Exit wird die RC geschlossen und der PC neu gestartet.

Solltest Du eine Warnmeldung bekommen, fahre mit Schritt 2 nicht fort


Schritt 2

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
ComboFix.txt
OTL.txt

hier schonmal combofix
Combofix Logfile:
--- --- ---