TR/Spyeye.H.2, DR/Ransom.Losya.I.5, TR/Spy.Spyeye.F und JAVA/OpenConnect.CF
 

Hallo,
ich reihe mich wohl ein in die Gruppe derer, die sich nicht besonders mit dem entfernen von Trojanern etc. auskennen. Um das System nicht formatieren und neu aufbauen zu müssen, wende ich mich an euch. Ich hoffe, Ihr könnt mir etwas weiter helfen. Ich habe mir schon die anderen Themen mit dem PRoblem angeschaut und eine Reihe der empfohlenen Checks gemacht, die vielleicht einen Anhaltspunkt für die Möglichkeiten der Bereinigung geben können.
Ich bin euch schon mal sehr sehr dankbar für Tips und Hilfe.

Im folgenden habe ich die ganzen LOGs als ZIP angehangen (Hoffe, das ist jetzt nicht zu umfangreich):

1. AVIRA
2. Gmer
3. hjtscanlist v2.0
4. OTL

Danke


Christoph

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo.
Danke für die schnelle Antwort.
Ich habe MAlwarebytes runtergeladen. Leider ging der Update nicht.
Folgende Fehlermeldung kam:

PROGRAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest)


Hier ist dennoch der Log vom Quickscan:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.01.2011 22:33:35
mbam-log-2011-01-04 (22-33-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136504
Laufzeit: 10 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Deinstallier bitte diesen ZoneAlarm-Blödsinn und starte Windows neu. Probier das Update von MBAM danach erneut.

Wenn das immer noch nicht geht, aktuelle rules.ref hier => File-Upload.net - rules.ref

Runterladen und deine rules.ref in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware ersetzen

Hallo.

Runterladen der neuen Datenbank ging jetzt.
Anbei das LOG von Malwarebytes.

Mit Dank und besten Grüßen


Christoph

P.S:Scheint alles Recht sauber zu sein, oder?


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5464

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.01.2011 19:15:44
mbam-log-2011-01-05 (19-15-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138064
Laufzeit: 10 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mach bitte einen Vollscan mit den aktuellen Signaturen.

HALLO, anbei der neue Log nach dem Vollscan.

Grüße

Christoph


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5464

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.01.2011 19:47:50
mbam-log-2011-01-06 (19-47-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|H:\|Z:\|)
Durchsuchte Objekte: 188732
Laufzeit: 54 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo-
anbei:



All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RestorData.exe deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{482150ad-791b-11df-8764-506313c52391}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{482150ad-791b-11df-8764-506313c52391}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{482150ad-791b-11df-8764-506313c52391}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{482150ad-791b-11df-8764-506313c52391}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{482150ad-791b-11df-8764-506313c52391}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{482150ad-791b-11df-8764-506313c52391}\ not found.
File E:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ not found.
File E:\serivces.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5348e9e0-0878-11e0-87d4-0026c71071a6}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74336a31-0ea7-11e0-87dd-0026c71071a6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74336a31-0ea7-11e0-87dd-0026c71071a6}\ not found.
File E:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c303040-203a-11df-86f1-00269ed9a363}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c303040-203a-11df-86f1-00269ed9a363}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c303040-203a-11df-86f1-00269ed9a363}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c303040-203a-11df-86f1-00269ed9a363}\ not found.
File serivces.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c303040-203a-11df-86f1-00269ed9a363}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c303040-203a-11df-86f1-00269ed9a363}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a0e14f64-377a-11df-8711-bbce15f459d0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a0e14f64-377a-11df-8711-bbce15f459d0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a0e14f64-377a-11df-8711-bbce15f459d0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a0e14f64-377a-11df-8711-bbce15f459d0}\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 1407564906 bytes
->Temporary Internet Files folder emptied: 116220776 bytes
->Java cache emptied: 41001 bytes
->FireFox cache emptied: 95861758 bytes
->Flash cache emptied: 44077 bytes

User: All Users

User: Default User
->Temp folder emptied: 229989 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 992232 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 991928 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2385509 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 77361752 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 8297983586 bytes

Total Files Cleaned = 9.537,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01072011_092149

Files\Folders moved on Reboot...
C:\Documents and Settings\Administrator\Local Settings\Temp\~DF638C.tmp moved successfully.
File\Folder C:\WINDOWS\temp\ZLT06124.TMP not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,
anbei die log.txt von ComboFix.
Danke!

Christoph


Combofix Logfile:
--- --- ---

Warum wurde die WHK (Recover Console bzw. Wiederherstellungskonsole) nicht installiert?!

Hallo,
keine Ahnung - schlimm?
Grüße

Christoph

Hast du die Anleitung genau beachtet? War die Internetverbindung aktiv? Die muss aktiv sein wenn CF läuft - bitte nochmal CF ausführen falls sie nicht aktiv war.