win32.muollo
 

Hallo,
ich bin neu hier, habe mich gerade angemeldet und bitte deshalb um Nachsicht, wenn vielleicht nicht alles Regel- bzw. Forenkonform ist. Bitte lasst es mich wissen, dann werde ich mir Mühe geben, dies zu ändern.

Jetzt zu meinem Problem. Ich weiß nicht wie, da ich mich nicht auf irgendwelchen zwielichtigen Internetsites rumtreibe, ich habe mir wohl auf meinem PC (benutze z. Z. meinen Laptop) einen oder mehrere Trojaner oder andere Viren eingefangen, trotz AntiVir Premium Edition und XP Antispy. Benutze WinXP, Service Pack 3, Win Internet Explorer.

Ein Virus/Trojaner ist win32.muollo. Dies wurde von Spybot gemeldet, und angeblich behoben???!!! (kann ich mir nicht vorstellen, aber na ja) Z. Z. scanne ich mit AntiVir.

Bevor ich mich hier angemeldet habe, habe ich mir natürlich die Regeln durchgelesen. Leider kann ich z. Z. mit meinem PC keine Logfiles etc. senden, da 1. es mindestens 10 Min. dauert, ehe im Internetexplorer eine Site geöffnet wird, 2. ich deswegen auch gar nichts herunterladen kann (hatte damit begonnen, aber dann kam die Meldung "Internetexplorer reagiert nicht").
Ich musste dann alles mit dem Task Manager beenden, was dann auch noch mal fast 5 Minuten gedauert hat, ehe die Fenster geschlossen wurden.

Wie ich dann auch noch herausfinden musste, wurde mein GMX email-account von GMX gesperrt, da sich zig tausende Leute beschwert haben, dass von meinem Accout Spamemails geschickt werden. Das habe ich jetzt erst mal mit GMX geklärt, ich habe mein Password geändert und der Account ist wieder freigeschaltet worden.

Wie kann ich jetzt erst mal das System soweit wieder herstellen, damit ich Euch die benötigten Logfiles senden kann? Welche Informationen benötigt Ihr noch? Ich bin im Augenblick ziemlich ratlos, da AntiVir offenbar auch nichts findet (ist zwar noch nicht ganz durch, aber bisher sind keine Funde gemeldet). Trotzdem ist das ganze System absolut langsam und wie gesagt, der Internet Browser ist eine Katastrophe.

Vielen Dank im voraus für jede Hilfe!!!!

Puh... Stunden später....
Endlich habe ich es nach mehreren PC-Abstürzen geschafft, Malwarebytes herunterzuladen und den PC damit zu scannen. Habe dann die gefundenen Viren gelöscht und noch mal mit Malwarebytes gescannt - keine Infizierung mehr. Was heißt das jetzt für einen Laien wie mich, ist das System jetzt nicht mehr infiziert, oder kann sich doch noch irgendwo etwas verstecken?
Bin wirklich über jede Hilfe dankbar.

Hier die Logfile vom ersten Scan:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5314

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.12.2010 23:40:37
mbam-log-2010-12-14 (23-39-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 132147
Laufzeit: 6 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\Roswitha\startmenü\programme\autostart\sishzm32.exe (Spyware.Passwords.XGen) -> 2772 -> No action taken.
c:\WINDOWS\system32\qtplugin.exe (Rootkit.Agent) -> 2520 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{7B6A2552-E65B-4a9e-ADD4-C45577FFD8FD} (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B} (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{E0EC6FBA-F009-3535-95D6-B6390DB27DA1} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CscrptXt.CscrptXt.1.0 (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CscrptXt.CscrptXt (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr.1.0 (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ASH24SXZ9S (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\OW1T3CYG7T (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OW1T3CYG7T (Trojan.FraudPack.Gen) -> Value: OW1T3CYG7T -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RegistryMonitor1 (Rootkit.Agent) -> Value: RegistryMonitor1 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\RegistryMonitor2 (Malware.Trace) -> Value: RegistryMonitor2 -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\sky-banners (Adware.Adrotator) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\sky-banners\skb (Adware.Adrotator) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\street-ads (Adware.Adrotator) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\street-ads\sta (Adware.Adrotator) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\Roswitha\startmenü\programme\autostart\sishzm32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Wmofoa.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\dokumente und einstellungen\Roswitha\anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\qtplugin.exe (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\anwendungsdaten\abpzlw.dat (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\sky-banners\skb\log.xml (Adware.Adrotator) -> No action taken.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,
wollte die OTL Logfile (die ich gestern bzw. heute nacht noch gemacht habe) gerade schicken, als von AntiVir eine Virenmeldung kam "TR/Trash.Gen" gefunden. Habe auf "Entfernen" geklickt, war aber doch misstrauisch, habe dann erst mal ein Malwarebytes Update runtergeladen und noch mal mit Malwarebytes gescannt. Aber, keine Infizierungen, deshalb stelle ich die Logfile nicht ein (Logfile von gestern ist ja bereits eingestellt).

Habe dann noch einen neuen OTL scan gemacht, die Logfile ist als ZIP angehängt.

Schon mal ganz lieben Dank im voraus für's checken der Logfiles.

Meldung ist unvollständig, du musst auch posten wo was gefunden wurde.
Außerdem wollte ich das Log vom Malwarebytes-Vollscan.

Entschuldigung, aber jetzt so kurz vor Weihnachten ist alles so hektisch und chaotisch, da fehlt einem abends manchmal einfach die Konzentration. Habe aber jetzt einen Vollscan durchgeführt, Ergebnis s. u.

Hatte heute wieder eine Meldung von AntiVir Guard, dass auf C:\System Volume Information\...\A0027063.exe (mehr Dateiinformtionen werden in dem kleinen Fenster leider nicht angezeigt) ein Virus names TR/Drop.Softomat.AN gefunden wurde. Habe direkt auf "entfernen" geklickt.

Und hier die Logfile:

Malwarebytes' Anti-Malware 1.50
Malwarebytes

Datenbank Version: 5328

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2010 00:45:08
mbam-log-2010-12-17 (00-45-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 245819
Laufzeit: 2 Stunde(n), 38 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP156\A0021584.dll (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP158\A0023281.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP159\A0024332.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP160\A0025235.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP161\A0025920.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP161\A0025956.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
e:\RECYCLER\s-1-5-21-515967899-1532298954-682003330-1003\Dd2\tools und programme\clonecd 4.0.0.1\clonecd 4.0.0.1 keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
e:\RECYCLER\s-1-5-21-515967899-1532298954-682003330-1003\Dd2\tools und programme\remotely anywhere 4.1\hs-ra41.exe (Trojan.Bancos) -> Quarantined and deleted successfully.
e:\RECYCLER\s-1-5-21-515967899-1532298954-682003330-1003\Dd2\tools und programme\microsoft xp suite keygen\XPKey.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
e:\system volume information\_restore{5ede0781-88aa-4904-bd6e-32667b391f6a}\RP154\A0018991.exe (Rogue.ThinkPoint) -> Quarantined and deleted successfully.

Ich habe noch eine Frage. Erkennt Malwarebytes auch Dialer, oder kannst Du mir ein Programm empfehlen, mit dem ich meinen PC auf Dialer überprüfen kann?

Vielen Dank im voraus.
Gruß
Roswitha

Sry aber bei keygens ist Schicht im Schacht! :pfui:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!