System Tool - vollständig entfernt?
 

hallo,
ich habe mir beim runterladen einer datei den virus "system tool" eingefangen :(
anschließend habe ich mich hier im forum schlau gemacht und die schritte dieser anleitung http://www.trojaner-board.de/92246-s...entfernen.html befolgt, um den schädling loszuwerden.

soweit ging alles problemlos und sieht auch gut aus - zumindest läuft der rechner wieder normal schnell, das system tool hat sich nicht mehr gemeldet und auch avira läuft wieder normal.

trotzdem wurde am ende der anleitung empfohlen, einen OTL.log zu posten.
ich hoffe jemand kann mal ein blick auf das chaos werfen ;)
besten dank

hier nun die logs:

otl.txt

OTL Logfile:
--- --- ---


extras.txt
OTL Logfile:
--- --- ---

Welche Datei hast du dir von wo runtergeladen? Quelle, Dateiname, Sinn und Zweck der Datei?

Ich wollte mir ein video anschauen, dann stand da: es werde der neueste Flashplayer benötigt, der mir dann auch sogleich runtergeladen wurde :(
Ich war einfach zu unvorsichtig.

Poste bitte alle schon vorhandenen Logs von malwarebytes

Der andere scan von heute Nacht ist leider nicht mehr bei den logs von malwarebytes aufgeführt :( , ich werde schauen, ob ich an den noch rankomme. Jedenfalls konnten die beiden files von "System Tool" erfolgreich entfernt werden, so wie es in der Anleitung beschrieben ist.
Heute mittag habe ich dann noch einen Scan durchgeführt und es wurde wieder 1 infiziertes Objekt gefunden. Danke für die schnelle Antwort.
Hier erstmal der Scan von heute mittag:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So, hat alles geklappt :). Allerdings wurde der Rechner nach fix sofort neugestartet und das logfile öffnete sich erst danach.

Hier ist es:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich habe alles genauso gemacht, wie du es beschrieben hast. Aber am Ende hat sich keine combofix datei geöffnet und finden konnte ich sie leider auch nicht :( . Nach dem Scan von combo hat er sich einfach neu gestartet und dann erhielt ich einen Problembericht(da stand etwas von Stoppfehler).

Probier den Durchgang mit CF bitte nochmal. Dann sehen wir weiter.

So, habe es vorhin nochmal versucht und diesmal wirklich alle Programme vorher deaktiviert und dann hat es auch geklappt :).
Hier nun das logfile:

Combofix Logfile:
--- --- ---

Wir müssen eine Datei ersetzen, bitte runterladen direkt nach c: ins Hauptverzeichnis => c:\regedit.exe

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
3. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
4. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

5. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
6. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
7. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

8. Kopiere die saubere Datei regedit.exe von mir in den Windows-Systempfad:

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


9. Starte den Rechner neu und boote Windows

10. Die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => [url]http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html

Gib Bescheid wenn alles durch ist.

alles wie beschrieben ohne probleme durchgeführt

Ok. Dann mach bitte einen neuen Durchgang mit combofix

So, neuer Durchgang ist abgeschlossen.

Combofix Logfile:

--- --- ---

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ich habe jetzt alles wie beschrieben gemacht. GMER hat leider nicht funktioniert.

OSAM Logfile:
--- --- ---

und die MBRCheck datei:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

sieht gut aus
Malwarebytes hat nichts gefunden

und Superantispyware meiner meinung nach auch nichts, was mit systemtool zu tun hat :)

:pfui: :twak:

Wir haben die Original CD ;)
sogar noch von damals, als es noch diese großen Kartons gab :rofl:

Dann versprich wenigstens dass du diesen Crack löscht!

Gut, mach ich. Ich glaube den hatten wir uns geholt, weil das Spiel nach nem Versionupdate nicht mehr richtig gestartet hat.
Auf jeden Fall vielen Dank für deine Bemühungen und deine schnelle Hilfe.
:applaus:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So, alles erledigt :)
Nochmals vielen vielen Dank