Trojaner-Board - Fund proccache.sbc (Norton 360°)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fund proccache.sbc (Norton 360°) (https://www.trojaner-board.de/94173-fund-proccache-sbc-norton-360-a.html)

Fund proccache.sbc (Norton 360°)

Moin,

ich habe heute von Norton 360° den folgenden Fund gemeldet bekommen:

c:\programdata\spybot - search & destroy\proccache.sbc
____________________________
____________________________
____________________________
proccache.sbc (Neuroquila (1))
Ursprung: Nicht verfügbar
____________________________
Programme, die andere Programme, Dateien oder Computerbereiche infizieren, indem sie sich einfügen oder anhängen.
____________________________
Sehr wenige Benutzer
Weniger als 10 Benutzer in der Norton Community haben diese Datei verwendet.
Sehr neu
Diese Datei wurde vor weniger als 1 Woche veröffentlicht.
Hoch
Das Risiko dieser Datei ist hoch.

**********

Nach Norton ist sie entfernt worden und kein weiteres Eingreifen notwendig.
Ich möchte aber auf Nummer sicher gehen.

Habe Load - heruntergeladen und die Logs erstellt - siehe attachment.

Die Infos im Netz sind spärlich und verweisen auf einen Boot Sector Virus aus dem Jahr 1995...
Kann es wirklich ein so alter Virus auf meinen Rechner geschafft haben?
Ich nutze Norton 360° (tgl. Update), Spybot und Noscript...

Danke für Euren Support

Techl

Ach ja, ich haben Windows 7 Ultimate installiert (64Bit)

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Moin,

okay, habe den Vollscan gestartet - Ist nun seit 1h 43Min. am laufen...

Nur zur Info in der in der Anleitung von Load.exe ist aber der Quickscan zu machen - oder ist der Vollscan nur um auf Nummer sicher zu gehen?

Ich will immer einen Vollscan sehen...

So nun auch mit Vollscan im Anhang - weißt nur auf die PDFforgetoolbar hin.

Zitat:

-> No action taken.

Du musst alle Funde immer entfernen

So nun aber - sorry, lag mit Grippe flach...

Ich habe wie gefordert meine Hausaufgaben gemacht - 1. Funde bearbeitet und dann 2. Neues Log geschrieben - scheint nun frei zu sein...

Hier anbei

Dann bitte nun auch neue OTL-Logs erstellen und posten

So nun weiteres Futter anbei...

Kann es sein, dass OTL es nicht schafft ein Extra.log zu schreiben, wenn schon eins im OTL Startordner vorhanden ist?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O33 - MountPoints2\{7341eab7-7d0b-11df-84a1-00226838f730}\Shell - "" = AutoRun

O33 - MountPoints2\{7341eab7-7d0b-11df-84a1-00226838f730}\Shell\AutoRun\command - "" = K:\AutoRun.exe -- File not found

O33 - MountPoints2\{7341eaba-7d0b-11df-84a1-00226838f730}\Shell - "" = AutoRun

O33 - MountPoints2\{7341eaba-7d0b-11df-84a1-00226838f730}\Shell\AutoRun\command - "" = K:\AutoRun.exe -- File not found

O33 - MountPoints2\K\Shell - "" = AutoRun

O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\LaunchU3.exe -- File not found

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So, wie gewünscht - gefixed - hier das Logfile geposted:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7341eab7-7d0b-11df-84a1-00226838f730}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7341eab7-7d0b-11df-84a1-00226838f730}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7341eab7-7d0b-11df-84a1-00226838f730}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7341eab7-7d0b-11df-84a1-00226838f730}\ not found.
File K:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7341eaba-7d0b-11df-84a1-00226838f730}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7341eaba-7d0b-11df-84a1-00226838f730}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7341eaba-7d0b-11df-84a1-00226838f730}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7341eaba-7d0b-11df-84a1-00226838f730}\ not found.
File K:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ not found.
File K:\LaunchU3.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: iTunes
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: ****
->Temp folder emptied: 2565172 bytes
->Temporary Internet Files folder emptied: 729366 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 48373412 bytes
->Flash cache emptied: 974 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 91849 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 49,00 mb

OTL by OldTimer - Version 3.2.18.0 log created on 01052011_232358

Files\Folders moved on Reboot...
C:\Users\****\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

***
Somit war das Host File wirklich manipuliert - korrekt?
Hast Du eine Ahnung, was das für ein Trojaner war?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Mist, Teil 1 ist fertig, aber bei Teil 2 habe ich Probleme - ComboFix beendet nicht.
Ich habe den Norton deaktiviert - wobei ComboFix am Anfang noch meckert.
Gibt es da Tipps, was zu beachten wäre?

Am Ende beim Log File Schreiben meckert ComboFix, dass die PVE.cfxxe ein Problem hat und geschlossen werden muß - bei allen drei Versuchen vorgefallen...

Hast Du noch eine Idee?

Probiers nochmal mit CF - am besten Norton vorher (zumindest vorübergehend) deinstallieren.

Dreck - auch mit Deinstallation keine Besserung, Abbruch an der gleichen Stelle - siehe Screenshot.
Noch eine Idee?