Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Thinkpoint lt. Anleitung entfernt - Bin ich ihn wirklich los? (https://www.trojaner-board.de/92731-thinkpoint-lt-anleitung-entfernt-ihn-wirklich-los.html)

ElMotzki 10.11.2010 20:44
Thinkpoint lt. Anleitung entfernt - Bin ich ihn wirklich los?
 
Hallo!

Erstmal vielen Dank, dass es euch gibt! ;-) Ich hab nach eurer Anleitung Thinkpoint entfernt. Malwarebytes hat 6 Ergebnisse geliefert, die habe ich entfernt und auch AntiVir hat 6 Ergebnisse geliefert, die entfernt sind.

Bei mir begann in der letzten Woche alles damit, dass sich beim surfen mit Firefox einfach leere Tabs zu irgendwelchen Adressen öffneten. Ich wollte mich schon an euch wenden, doch dann schien es nicht mehr zu passieren, doch dann kam Thinkpoint. Das bin ich jetzt - hoffentlich - los.

Unter dem Pfad C:\Dokumente und Einstellungen\***\Anwendungsdaten befand sich die hotfix.exe und der Task wird auch nicht mehr ausgeführt. Doch dort bestehen noch weitere Dateien mit denen ich nichts anfangen kann. Sie heißen install, start (beide ohne Dateiendung) und mdbu.bin... Gehören die dazu, sollte ich sie löschen oder wie sollte ich damit verfahren?

Dann habe ich die Files laut Anleitung erstellt. Der Post wird sonst zu lang, deshalb habe ich die Files als txt-Datei angehangen.

Also habe ich jetzt 3 Fragen:
1. Bin ich Thinkpoint los oder ist noch irgendetwas anderes auf meinem PC?
2. gmer scheint etwas gefunden zu haben, was hat es damit auf sich?
3. Was ist dieses "bjordsk"? Auch Google konnte mir nicht weiterhelfen...
4. Auffällig ist auch, dass Windows bei mir immer einen bestimmten Prozess schließt, danach funktioniert der Sound nicht mehr... Er heißt "Generic Host Process for Win32 Services". Ich habe auch schon mal gegooglet und ein Windows-Update installiert aber es hat nichts gebracht... Kann das mit dem Virus zusammenhängen und ist euch so etwas bekannt?

Vielen Dank schonmal im Voraus! :daumenhoc

PS: Gerade ist AntiVir nochmal drüber gelaufen und hat mir folgendes Ergebnis geliefert:

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. November 2010  20:00
 
Es wird nach 3033938 Virenstämmen gesucht.
 
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : ***
 
Versionsinformationen:
BUILD.DAT      : 10.0.0.592    31823 Bytes  09.08.2010 10:49:00
AVSCAN.EXE    : 10.0.3.1      434344 Bytes  10.11.2010 17:49:29
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  30.03.2010 10:42:16
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 13:18:47
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 14:44:18
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 14:02:57
VBASE008.VDF  : 7.10.11.133  3454464 Bytes  13.09.2010 18:59:29
VBASE009.VDF  : 7.10.13.80  2265600 Bytes  02.11.2010 17:49:29
VBASE010.VDF  : 7.10.13.81      2048 Bytes  02.11.2010 17:49:29
VBASE011.VDF  : 7.10.13.82      2048 Bytes  02.11.2010 17:49:29
VBASE012.VDF  : 7.10.13.83      2048 Bytes  02.11.2010 17:49:29
VBASE013.VDF  : 7.10.13.116  147968 Bytes  04.11.2010 17:49:29
VBASE014.VDF  : 7.10.13.147  146944 Bytes  07.11.2010 17:49:29
VBASE015.VDF  : 7.10.13.180  123904 Bytes  09.11.2010 17:49:29
VBASE016.VDF  : 7.10.13.181    2048 Bytes  09.11.2010 17:49:29
VBASE017.VDF  : 7.10.13.182    2048 Bytes  09.11.2010 17:49:29
VBASE018.VDF  : 7.10.13.183    2048 Bytes  09.11.2010 17:49:29
VBASE019.VDF  : 7.10.13.184    2048 Bytes  09.11.2010 17:49:29
VBASE020.VDF  : 7.10.13.185    2048 Bytes  09.11.2010 17:49:29
VBASE021.VDF  : 7.10.13.186    2048 Bytes  09.11.2010 17:49:29
VBASE022.VDF  : 7.10.13.187    2048 Bytes  09.11.2010 17:49:29
VBASE023.VDF  : 7.10.13.188    2048 Bytes  09.11.2010 17:49:29
VBASE024.VDF  : 7.10.13.189    2048 Bytes  09.11.2010 17:49:29
VBASE025.VDF  : 7.10.13.190    2048 Bytes  09.11.2010 17:49:29
VBASE026.VDF  : 7.10.13.191    2048 Bytes  09.11.2010 17:49:29
VBASE027.VDF  : 7.10.13.192    2048 Bytes  09.11.2010 17:49:29
VBASE028.VDF  : 7.10.13.193    2048 Bytes  09.11.2010 17:49:29
VBASE029.VDF  : 7.10.13.194    2048 Bytes  09.11.2010 17:49:29
VBASE030.VDF  : 7.10.13.195    2048 Bytes  09.11.2010 17:49:29
VBASE031.VDF  : 7.10.13.202    47616 Bytes  10.11.2010 17:49:29
Engineversion  : 8.2.4.92 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  01.08.2010 10:15:28
AESCRIPT.DLL  : 8.1.3.46    1364347 Bytes  10.11.2010 17:49:29
AESCN.DLL      : 8.1.6.1      127347 Bytes  30.05.2010 13:19:01
AESBX.DLL      : 8.1.3.1      254324 Bytes  30.05.2010 13:19:02
AERDL.DLL      : 8.1.9.2      635252 Bytes  26.09.2010 16:07:57
AEPACK.DLL    : 8.2.3.11      471416 Bytes  14.10.2010 18:53:32
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  22.07.2010 05:10:23
AEHEUR.DLL    : 8.1.2.38    2990455 Bytes  10.11.2010 17:49:29
AEHELP.DLL    : 8.1.14.0      246134 Bytes  14.10.2010 18:53:29
AEGEN.DLL      : 8.1.3.24      401781 Bytes  10.11.2010 17:49:29
AEEMU.DLL      : 8.1.2.0      393588 Bytes  30.05.2010 13:18:58
AECORE.DLL    : 8.1.17.0      196982 Bytes  26.09.2010 16:07:54
AEBB.DLL      : 8.1.1.0        53618 Bytes  30.05.2010 13:18:57
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.2      53096 Bytes  10.11.2010 17:49:29
AVSCPLR.DLL    : 10.0.3.1      83816 Bytes  10.11.2010 17:49:29
AVARKT.DLL    : 10.0.0.14    227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  10.11.2010 17:49:29
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,
 
Beginn des Suchlaufs: Mittwoch, 10. November 2010  20:00
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
 
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1658' Dateien ).
 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\' <Boot>
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP2\A0000116.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.110080.5
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP2\A0000117.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP3\A0006143.exe
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.cgu.1
C:\WINDOWS\system32\drivers\bjordsk.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.760320.7
Beginne mit der Suche in 'D:\' <Spiele>
Beginne mit der Suche in 'E:\' <Schule>
 
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\bjordsk.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.760320.7
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ee95b1d.qua' verschoben!
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP3\A0006143.exe
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.cgu.1
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563d7f2f.qua' verschoben!
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP2\A0000117.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '046225c7.qua' verschoben!
C:\System Volume Information\_restore{34B1D383-C47C-4988-B0B8-0AC970CA1AC0}\RP2\A0000116.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.110080.5
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62556a05.qua' verschoben!
 
 
Ende des Suchlaufs: Mittwoch, 10. November 2010  20:35
Benötigte Zeit: 33:39 Minute(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
  12413 Verzeichnisse wurden überprüft
 358278 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 358274 Dateien ohne Befall
  2180 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
Leider unterbricht immer wieder die Verbindung, so dass es nicht richtig möglich ist die Dateien hochzuladen...

Es fehlt noch Teil 3 zu Extras.txt aber die Verbindung bricht immer wieder ab!

Vielen Dank für eure Geduld!

Den dritten Teil kann ich immer noch nicht hochladen, aber AntiVir findet immer und immer wieder den Trojaner "TR/Agent.760320.7" unter C:\Windows\system32\bjordsk.sys. Ich habe den Trojaner schon in Quarantäne verschoben und gelöscht, doch bei jeder neuen Prüfung schlägt AntiVir wieder darauf an... Immer die selbe Datei... Kann ich die einfach so löschen?

Vielen Dank!

kira 11.11.2010 08:24
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
Schlechte Nachricht:
es geht hier um nicht weniger, als einen Infektion mit :
- Malware/Schadprogramm
- Rootkit
- vermutlich noch dein Master Boot Record auch betroffen

Da eine hundertprozentige Erkennung von Rootkits meist unmöglich ist bzw die davon betroffenen Systeme nur selten komplett heilbar sind, die beste Methode wäre zur Entfernung die komplette Neuinstallation.
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
wenn Du es versuchen willst mit die Systemreinigung (nicht empfohlen), gib mir bitte bescheid...

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Cf

ElMotzki 11.11.2010 19:33
Vielen Dank für die schnelle Antwort! Ich habe es mir schon gedacht, dass ich das System neu aufsetzten muss aber die Hoffnung stirbt zuletzt... ;-)
Das werde ich dann machen, trotzdem vielen Dank für das Angebot!
Eine abschließende Frage habe ich aber noch: Wenn ich jetzt Dateien vom -infizierten- PC kopiere (z.B. auf den Stick), die lt. AntiVir "sauber" sind und die nach der Neuinstallation wieder aufspiele, könnte ich mir damit den Virus auch wieder aufs neue Sytem aufspielen? Oder bietet ein aktuelles AntiVir genug Sicherheit, so dass man davon ausgehen kann, dass die Dateien "sauber" sind, wenn AntiVir nichts finden sollte???

Vielen Dank für deine Hilfe, find ich echt klasse!

kira 12.11.2010 07:10
- bietet Dir kein Programm hundertprozentige Sicherheit vor einer Ansteckung, aber Du kannst dafür etwas tun zwar:

Datensicherung:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Ausserdem nach einer "gründlichen" Formatierung, wenn Du mit alles fertig bist (Servicepacks aufgespielt hast, AV-Scanner drauf etc), würde ich empfehlen, das frisch aufgesetzte System, dein MBR ja auch noch prüfen lassen

- Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von Gmer herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19