|
Trojaner infizieren alle ausführbaren Dateien Guten Tag, nach dem Hören einiger Songs auf Grooveshark (und nur dieser einen Seite seit dem Hochfahren des Laptops) meldete Aviras Antivir (letztes Update wenige Tage her) ungefähr zehn Trojaner und verdächtige Scripts. Diese wurden in Quarantäne verschoben und umgehend gelöscht. Außerdem hab ich das WLAN ausgeschaltet. Nun gibt es am laufenden Band Popups von: Antimalware Doctor und Antivir Solution Pro Mit der Warnung vor einer Vielzahl Dialer und Co und natürlich der Aufforderung, die Vollversion zu erwerben. Google hat mir gesagt, dass das nichts nützen wird, weil die Programme selbst Schadsoftware sind. Außerdem kommen immer Windows Security Alerts und Antivirus Software Alerts. Ich habe eurer Anleitung nach CCleaner, Malwarebytes und OTL runtergeladen(auf dem anderen Rechner, und den Laptop mit den Setup-Dateien gefüttert. Folgendes Problem: Direkt nach der Installation von CCleaner kann dieses nicht gestartet werden. "The file ccleaner.exe is infected. Do you want to activate your antivirus software now?" Nachdem Aviras Antivir im Suchlauf ein Rootkit gefunden und entfernt hat, habe ich neugestartet und Avira ist nun genauso nicht mehr ausführbar. Soll ich nun trotzdem Malwarebytes installieren? Obwohl ich ja dazu eine Internetverbindung offen haben muss, was mir momentan sehr brenzlig erscheint, wo ich nur mit dem wegklicken von Fehlermeldungen beschäftigt bin. Ich wäre für einen Hinweis echt dankbar. Viele Grüße Christin |
die fehlermeldung ist nicht von avira, die ist von der rogue. starte den pc mal im abgesicherten modus, sollte nach pc start die f8-taste sein, dort abges modus auswählen und malwarebytes nen komplett scan machen lassen, wenns geht nach update. und dann ccleaner. dann neustart und malwarebytes öffnen, klicke auf logdateien, log posten. dann otl logs |
ok, bin grade beim Scan. Vielen, vielen Dank erstmal für die schnelle Antwort! |
kein prob :-) |
Hallo, hier ist das Log von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 05.08.2010 13:56:19 mbam-log-2010-08-05 (13-56-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 216431 Laufzeit: 27 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 12 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken. HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> No action taken. HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken. HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken. HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> No action taken. HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\vpjwp.dll (Adware.EZlife) -> No action taken. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken. C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken. CCleaner hat nach dreimal Registry-säubern nichts mehr gefunden. OTL fragt mich nach dem Scan, ob es zwei neue Dateien erstellen soll, weil die Logfiles noch nicht existieren. Nach dem Bestätigen kommt zweimal das Editorfenster mit unbenannt.txt, beide Fenster bleiben aber leer. |
|
Combofix beschwert sich, dass AntiVir Desktop noch läuft, ich kann aber im TaskManager keine derartigen Anwendungen oder Prozesse finden. Ich befinde mich immer noch im abgesicherten Modus. Ist mit Antivir Desktop ein anderer Schädling gemeint oder Avira? |
dann überspringe die meldung. |
Ok, Combofix hat gescannt und direkt ein paar Dateien und Ordner gelöscht. Beim selbständigen Neustart (im normalen Modus) kamen dann schonmal keine nervigen Popups mehr. Nur das Modul vpjwp.dll wird vermisst und für eine Datei ist plötzlich das richtige Programm zum öffnen nicht mehr bekannt. Die Datei heißt newreleaseversion70700.exe.vir - das müsste ja der Übeltäter sein. Hier ist das log vom Combofix: Combofix Logfile: Code: ComboFix 10-08-04.05 - *** 05.08.2010 15:22:26.1.2 - x86 NETWORK |
Start programme zubehör, editor, kopiere rein. stepdel:: Killall:: Rootkit:: c:\windows\system32\drivers\bimijuu.sys driver:: bimijuu Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bimijuu]rechtsklick auf avira Datei speichern unter, typ alle dateien, name cfscript.txt speichere sie dort ab, wo sich combofix.exe befindet. ziehe cfscript auf combofix, programm startet, log posten. rechtsklick avira schirm, guard deaktivieren. öffne arbeitsplatz, dort laufwerk c: rechtsklick auf qoobox. wähle zu qoobox.rar oder zip hinzufügen, das archiv qoobox.zip oder rar an uns hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html machst du online banking oder änliches? |
Ok, zip-Archiv ist hochgeladen. An dem Rechner wurde schonmal was mit Kreditkarte bezahlt, ist aber die Ausnahme. Onlinebanking wird am anderen Rechner gemacht. hier kommt das Combofix-log: Combofix Logfile: Code: ComboFix 10-08-04.05 - *** 05.08.2010 16:51:36.2.2 - x86 |
Text gelöscht |
Mehrfachpost gelöscht. Seite wurde bei mir nicht geladen, habs daher gleich dreimal geschrieben. |
ok, jetzt update mal malwarebytes, über die registerkarte aktualisierung. dann schalte alles an laufenden programmen ab, auch avira. trenne die internetverbindung! starte mit malwarebytes nen komplett scan, poste das log nach löschen der funde und einschalten von avira + internet |
das ist es: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4394 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.08.2010 18:29:56 mbam-log-2010-08-05 (18-29-56).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 225225 Laufzeit: 37 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 4 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\SolutionAV (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners\skb (Adware.Adrotator) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads\sta (Adware.Adrotator) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe.vir (Trojan.Agent.Gen) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ipjwp.exe.vir (Trojan.Adware) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\rpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\vpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027211.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027219.exe (Trojan.Adware) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027220.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027221.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board