Virusbefall durch " Backdoor:Win32/Cycbot.B ",kann ihn nicht beseitigen
 

Hallo,habe ein Problem.Muss auch gleich vorraus sagen das ich, was das thema Computer betrifft,mich auf absoluten Neuland bewege.Seit gestern bin ich durch diesen im Thema benannten Virus befallen.Beim Start meines Laptops mit dem Betriebssystem "Windows Vista",bekomme ich die Meldung von "Windows Defender" das mein System befallen ist.Gehe ich dann auf entfernen wird beim Start von "Mozilla" entweder - "keine Verbindung zum Proxy Server" angezeigt oder es werden 11-12 Fenster geöffnet.Hab dann über "Google" versucht mir eine Lösung zu suchen.Bin da auch fündig geworden: how do i remove Backdoor:Win32/Cycbot.B . Leider kann ich nicht so gut Englisch,sodas ich die Seite mir über "Yahoo" übersetzen lies.Diese ist leider nicht so gut.Habe es aber denoch versucht.Habe mir "Dr.Web" heruntergeladen,"Maleware" hatte ich schon.Bin dann die Schritte-also mit "Dr.Web"im ABGESICHERTEN MODUS nach und nach durchgegengen.Leider habe ich davon keine logdatei da ich nach dem langen Scann nicht vor Ort war.als er fertig war,sodas ich erst beim Neustart des Systems wieder vor dem "Einlogg Bildschirm" am Laptop war.Muss dazu sagen habe zwei Profile und das andere Profil ist laut "Maleware" nicht betroffen!:confused: Nun ja, der nächste Schritt war dann ja "Maleware" drüber laufen zu lassen.Dieser fand immer noch infizierte Objekte.die ich dann in Quarantäne stellte.Beim Neustart des Systems ging dann aber wieder der "Windows Defender" an und da war er wieder bzw. immer noch.:headbang: Nun meine BITTE an euch...HELFT MIR

P.S. meine Virenprogramme sind "Avast und Avira"

Hier die Logfile


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5214

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

06.12.2010 09:54:47
mbam-log-2010-12-06 (09-54-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158085
Laufzeit: 9 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> Value: svchost -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\hp\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\hp\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\hp\AppData\Roaming\microsoft\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Die Logdatei nach vollständigen Suchlauf

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5254

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

06.12.2010 12:43:46
mbam-log-2010-12-06 (12-43-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 382306
Laufzeit: 2 Stunde(n), 9 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\Users\hp\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> 3748 -> No action taken.
c:\Users\hp\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 1328 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Spyware.Passwords.XGen) -> Value: svchost -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\hp\AppData\Local\Temp\csrss.exe) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\hp\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\hp\doctorweb\quarantine\adobeupdat0.exe8232157 (Trojan.Dropper) -> No action taken.
c:\Users\hp\doctorweb\quarantine\err____0.log8231923 (Trojan.Dropper) -> No action taken.
c:\Users\hp\doctorweb\quarantine\err____0.log8232188 (Trojan.Dropper) -> No action taken.
c:\Users\hp\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> No action taken.

Hier die otl datei

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
► Falls es Meldung/Bericht von deinem Antivirenprogramm oder andere Schutzprogramme gibt, bitte posten! Was gefunden und vor allem wo...

1.
- Hast Du 2 AV-Programm auf deinem PC?
- zwei gleichzeitig installierte und aktivierte Antivirenprogramme: AntiVir PersonalEdition Classic & Avast
- Beide Scanner haben nämlich nur ein Ziel, dein System sinnvoll gegen Schädlingen zu prüfen/schützen.
Da aber laufen beide parallel, sie behindern sich gegenseitig und auch eine eine gewaltige Belastung für dein System! Die Folge kann ein Crash sein, oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen! Mehr AV Programme bedeutet nicht mehr Sicherheit!
Deinstalliere also eines der AV-Programme und lass nur noch eins auf deinem PC laufen!!

2.
- Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

3.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

NUR DOWNLOADEN, WENN GMER NICHT AUSGEFÜHRT WERDEN KANN:[
6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

gruß
Coverflow