Was tun System verseucht? /trojaner und Worm
 

Hallo liebe Leute, sitze nun schon lange vor meinem Pc und habe massive Probleme mit einem Virus!

Zuerst zu meinem System:

xp service pack 3 home edition

Vor 1 Tag kam die Meldung von Avira, dass er einen Trojaner gefunden hat. Es war irgendwas mit der Bezeichnung: "ctfm". Danach kamen noch mehrere Meldungen über einen Trojaner (leider kann ich euch keinen genauen Namen oder Bericht geben, da ich Avira gerade runtergeschmissen habe, da gerade Kaspersky drauf läuft). Die Trojaner liessen sich nicht mit Avira löschen, und auch nicht manuell, oder die infizierten dll Dateien ( System 32 /dll mit Anfangsbuchstaben ss) stellten sich wieder von alleine her. Ich habe dann Spybot und CC Cleaner installiert und im abgesicherten Modus laufen lassen. Einige infizierte Dateien wurden entdeckt und gelöscht aber die Fehlermeldungen bei Avira waren immer noch da.
Kurz darauf entdeckte ich in meiner Netzwerkumgebung und im System 32 einen Ordner, mit einem jap. Mädchen als Icon drauf, diesen zu löschen ging nicht, da er sich selbst immer wieder ausführte.
Ich habe in Foren dann rausbekommen, dass das eine "ctfm exe" ist und hab dann mit ctfmon remover diese löschen können. Da ich gelesen habe, dass das ausserdem ein Autorun Virus ist, versuchte ich erfolglos die autorun.inf zu löschen.
Dann habe ich Kaspersky installiert, dieser konnte einen Wurm löschen und wieder einen Trojaner: das File hier:

Gelöscht (26)
31.01.2011 17:40:54 Gelöscht Virus Worm.Win32.AutoIt.xl Datei C:\WINDOWS\system32\csrcs.exe// UPX Hoch
31.01.2011 17:40:54 Gelöscht Virus Worm.Win32.AutoIt.xl Datei C:\WINDOWS\system32\csrcs.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:49:04 Gelöscht trojanisches Programm Packed.Win32.Klone.bj Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp188\ a0063956.exe Hoch
31.01.2011 17:48:59 Gelöscht Virus HEUR:Trojan.Win32.Generic Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp188\ a0064003.exe Hoch
31.01.2011 17:47:46 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\ a0064464.exe Hoch
31.01.2011 17:48:41 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\ a0064463.exe Hoch
31.01.2011 17:47:46 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0064464.exe// UPX Hoch
31.01.2011 17:48:41 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0064463.exe// UPX Hoch
31.01.2011 17:47:46 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0064464.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:48:41 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0064463.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:47:39 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\ a0065616.exe Hoch
31.01.2011 17:47:39 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065616.exe// UPX Hoch
31.01.2011 17:47:39 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065616.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:47:21 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\ a0065701.exe Hoch
31.01.2011 17:47:21 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065701.exe// UPX Hoch
31.01.2011 17:47:21 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065701.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:52:48 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\ a0065862.exe Hoch
31.01.2011 17:52:48 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065862.exe// UPX Hoch
31.01.2011 17:52:48 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp190\a0065862.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 17:50:19 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC.gc Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp192\ a0066413.exe Niedrig
31.01.2011 17:52:40 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp192\ a0066412.exe Hoch
31.01.2011 17:52:40 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp192\a0066412.exe// UPX Hoch
31.01.2011 17:52:40 Gelöscht Virus Worm.Win32.AutoIt.xl Datei c:\system volume information\_restore{1d1b6b12-22e9-4f93-892a-bab47bd09d81}\rp192\a0066412.exe//UPX// 161803O48CB73183P50S48XC7796FWHPREYTM.au3.tbl.decoded Hoch
31.01.2011 19:54:54 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC-based.c Datei c:\dokumente und einstellungen\grandmaster\eigene dateien\downloads\ ctsupport.exe Niedrig
31.01.2011 19:54:54 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC-based.c Datei c:\dokumente und einstellungen\grandmaster\eigene dateien\downloads\ctsupport.exe// UPX Niedrig
31.01.2011 19:54:54 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC-based.c Datei c:\dokumente und einstellungen\grandmaster\eigene dateien\downloads\ctsupport.exe//UPX// vnchooks.dll Niedrig
Nicht gefunden (1)
31.01.2011 17:41:09 Nicht gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC.gc Datei C:\Programme\UltraVNC\ winvnc.exe Niedrig
Gefunden (1)
31.01.2011 20:04:04 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:RemoteAdmin.Win32.WinVNC.gc Datei c:\dokumente und einstellungen\grandmaster\eigene dateien\downloads\ultravnc_1.0.8.2_setup.exe// data0007 Niedrig

Ich habe dann auch noch die Systemwiederherstellung deaktiviert, weil der Wurm immer aus der restore Datei kam.

Trotzdem kann ich immer noch nicht die autorun.inf Dateien per cmd funktion löschen. Und ich kann die Recycler Dateien auf den verschiedenen Partitionen nicht löschen , mein System ist also immer noch nicht stabil.
Was kann ich tun, ich würde ungern das ganze System wieder aufsetzen, da ich leider keine Daten gesichert habe.

Es wäre schön wenn mir jmd. helfen könnte.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

so alles durchgeführt

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5650

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2011 23:37:20
mbam-log-2011-01-31 (23-37-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Z:\|)
Durchsuchte Objekte: 317206
Laufzeit: 41 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\3ETECE6I8G (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
z:\computerzeugs\programme info\Vegas\sony dvd architect v4.0 seriennummer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
z:\computerzeugs\programme info\Vegas\sony vegas v7.0a seriennummer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Wer Keygens nutzt, muss sich nicht über Befall wundern :stirn:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

MMh ich kann nur zu meiner Verteidigung sagen, dass ich dieses Programm vegas nicht selber aufgespielt habe und es auch noch nicht installiert habe, die Sachen sind auf meiner 2.
Festplatte wo ein Freund mir verschiedene Programme draufgespielt hat.

MMh, ich habe noch eine Frage zum Neuaufsetzen des Systems, wie kann ich meine pers. Daten sichern, ohne dass es beim rücküberspielen zu einem erneuten Befall kommt.
Wäre schön wenn du mir noch diese Frage beantworten könntest.

Bzgl. Datensicherung folge dem zweiten Link in meiner Signatur.