Trojaner-Board - Internetexplorer öffnet trotz Firefox Popups ! Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internetexplorer öffnet trotz Firefox Popups ! Virus? (https://www.trojaner-board.de/95607-internetexplorer-oeffnet-trotz-firefox-popups-virus.html)

Dass Emotionen im Spiel sind ist klar. Aber wenn man wirklich Hilfe haben will, sollte man sich als Hilfesuchender auch mal unterordnen und die verlinkten Hinweise genauer lesen, bei Unklarheiten gezielter Fragen und NICHT mit typischen Trollfloskeln daherkommen :schmoll:

Aber vllt fängt unser Zampano ja noch :)
Ich wäre auch nicht abgeneigt zu helfen, wenn er ein vernünftiges Posting hinkriegt, helf ich gern.

So cad, Habe jetzt alles nach der Anleitung durchgeführt !
Im anhang findest du die drei dateien, also die logfile von malwarebytes, die OTL.txt und die Extras.txt !!
Dankesehr :)

Zitat:

Malwarebytes' Anti-Malware 1.46
Datenbank Version: 4913
11.02.2011 22:07:20
mbam-log-2011-02-11 (22-07-20).txt
Art des Suchlaufs: Quick-Scan

Mal zusammenfassen:

- MBAM ist nicht aktuell, wir haben Version 1.50.1
- DB-Version demnach ist auch nicht aktuell, wir müssten bei 5740 um den Dreh sein
- du hast nur einen Quickscan gemacht, mach bitte einen Vollscan wenn MBAM und die Signaturen aktuell sind
- Poste auch alle anderen vorhandenen Logs von MBAM, die im Reiter Logdateien sichtbar sind

So hier nochmal aktualisiert und komplettscan gemacht und ALLE vorhandenen logfiles in dem ordner :)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

[2011.02.11 21:04:48 | 000,000,000 | ---D | C] -- C:\Users\Sölter\AppData\Local\{72ECED9E-010F-44ED-A5DA-34CB9827071A}

[2011.02.10 21:31:40 | 000,129,024 | ---- | C] (ComponentOne LLC) -- C:\Windows\Lvohoa.exe

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2010.01.05 14:44:59 | 000,000,065 | R--- | M] () - E:\autorun.inf -- [ CDFS ]

O33 - MountPoints2\{08f89f07-fec1-11de-b023-001f16bb03f1}\Shell - "" = AutoRun

O33 - MountPoints2\{08f89f07-fec1-11de-b023-001f16bb03f1}\Shell\AutoRun\command - "" = F:\Autorun.exe

O33 - MountPoints2\{58c6fda3-ef00-11de-9878-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{58c6fda3-ef00-11de-9878-806e6f6e6963}\Shell\AutoRun\command - "" = E:\start.exe -- [2010.01.05 14:44:59 | 000,298,609 | R--- | M] (Adobe/Macromedia, Inc.)

[2011.02.11 22:09:11 | 000,000,302 | -HS- | M] () -- C:\Windows\tasks\JAGPO.job

[2011.02.11 22:09:07 | 000,000,324 | -HS- | M] () -- C:\Windows\tasks\OVBNMIAUA.job

[2011.02.11 15:40:02 | 000,721,199 | ---- | M] () -- C:\Users\Sölter\Documents\eXplorer.exe

[2011.02.10 21:31:34 | 000,135,168 | RHS- | M] () -- C:\Windows\System32\itirclm.dll

[2011.01.25 20:00:28 | 000,000,020 | ---- | M] () -- C:\Windows\`ó¼

[2011.01.20 14:11:26 | 000,000,020 | ---- | M] () -- C:\Windows\pù·

[2010.12.22 14:22:37 | 000,000,000 | ---D | M] -- C:\Users\Sölter\AppData\Roaming\5721E4360581AE6E66D99100D7121832

[2011.01.16 18:25:51 | 000,000,000 | ---D | M] -- C:\Users\Sölter\AppData\Roaming\BOM

[2010.12.22 11:10:15 | 000,000,000 | ---D | M] -- C:\Users\Sölter\AppData\Roaming\Byofx

[2010.12.29 07:09:44 | 000,000,000 | ---D | M] -- C:\Users\Sölter\AppData\Roaming\Ceybap

[2010.10.22 20:48:17 | 000,000,000 | ---D | M] -- C:\Users\Sölter\AppData\Roaming\Cuezm

[2011.02.11 22:09:11 | 000,000,302 | -HS- | M] () -- C:\Windows\Tasks\JAGPO.job

[2010.12.22 13:42:56 | 000,000,304 | -HS- | M] () -- C:\Windows\Tasks\Obdq.job

[2011.02.11 22:09:07 | 000,000,324 | -HS- | M] () -- C:\Windows\Tasks\OVBNMIAUA.job

[2010.12.22 13:46:42 | 000,000,000 | -H-D | M] -- C:\cleepprogx.exe

[2010.12.22 13:46:42 | 000,000,000 | -H-D | M] -- C:\portwexexe.exe

@Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:71FA8B7F

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So hier die logfile genau nach anleitung :)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe grade nach dem doppelklick auf combofix.exe und dann nach dem klicken auf ausführen einen bluescreen bekommen :S:S

Du solltest CF ja auch in cofi.exe umbenennen - geht das schon wieder los mit dem unaufmerksamen Lesen bei dir? :balla:

ruhig bleibennn.....

Lad CF bitte neu herunter und via Rechtsklick => Ziel speichern unter => auf dem Desktop als cofi.exe - NICHT nachträglich umbenennen!!!
Die cofi.exe per Rechtsklick als Admin ausführen!!

So , genauso gemacht !!!!!! trotzdem bluescreen! und als ich den rechner nach dem bluescreen neu gestartet habe ist er hochgefahren ich hab mich angemeldet dann war er 5 sekunden da und dann wieder bluescreen :( dann hab ich aus angst im abgesicherten modus die cofi.exe gelöscht ...

Ok, dann ist das nicht dein Fehler http://cheesebuerger.de/images/smilie/liebe/g018.gif

Mach statt CF dann erstmal ein Log mit dem Tool von Kaspersky => http://www.trojaner-board.de/82358-t...entfernen.html

Code:

2011/02/12 13:38:46.0901 2564        \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)

2011/02/12 13:38:46.0901 2564        ================================================================================

2011/02/12 13:38:46.0901 2564        Scan finished

2011/02/12 13:38:46.0901 2564        ================================================================================

2011/02/12 13:38:46.0917 2592        Detected object count: 2

2011/02/12 13:38:58.0897 2592        Locked file(sptd) - User select action: Skip 

2011/02/12 13:38:58.0944 2592        \HardDisk0 - will be cured after reboot

2011/02/12 13:38:58.0944 2592        Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure 

2011/02/12 13:39:06.0963 2664        Deinitialize success

Das war ein Treffer! TDSS-Killer hat TDL4 beseitigt!

Probier CF jetzt bitte nochmal.