Trojaner 3.04

[Savas]

Hallo,
ich habe mir vor kurzem den 3.04 eingefangen und bin nach dieser anleitung vorgegangen -> http://forum.botfrei.de/showthread.p...e-fange-ich-an. Bisher scheint es so als wäre der Trojaner weg aber sicher bin ich mir nicht. Wäre nett wenn einer von euch mal die Logs durchgehen könnte und mir sagen kann ob ich noch was machen muss:) Ich hab allerdings erst einen quick scan mit Malwarebytes gemacht, bei deim 3 infizierte Dateien gefunden wurden. Die hab ich dann gelöscht und nochmal einen vollständigen Suchlauf gemacht bei dem dann nichts mehr gefunden wurde. Danach noch einen scan mit otl und mehr hab ich nicht gemacht:)
OTL.Txt
Extras.Txt
mbam-log-2012-04-28 (00-43-58)(quick scan).txt
mbam-log-2012-04-28 (00-59-29).txt
Schöne Grüße

[oldi-40]

Hallo Savas,

die Logs sind ok.

Poste mal die Logs von TDSSKiller und aswMBR.exe

Tschau

[Savas]

aswMBR.txt
beim tdsskiller wurde eine datei gefunden und gelöscht

[oldi-40]

Hallo Savas,

beim tdsskiller wurde eine datei gefunden und gelöscht

Dann poste mal das Log-File, das findest Du unter C:\Tdss....

Tschau

[Savas]

TDSSKiller.2.7.32.0_28.04.2012_12.41.07_log.txt
TDSSKiller.2.7.33.0_28.04.2012_12.42.00_log.txt
TDSSKiller.2.7.33.0_28.04.2012_12.49.39_log.txt
TDSSKiller.2.7.33.0_28.04.2012_12.52.25_log.txt
TDSSKiller.2.7.33.0_28.04.2012_12.54.02_log.txt

das waren mehrere :)

[oldi-40]

Hallo Savas,

ups Du hast eine saubere Datei in die Quarantäne verschoben.

Da dürfte Daemen-Tools Probleme bekommen.

Ein Script zum Aufräumen des Systems ist in Arbeit, die Kollegeninnen wollen mir helfen.

Tschau

[Savas]

vielen dank :)

[oldi-40]

Hallo Savas,

deinstalliere mal alle nicht genützten Programme.
-> Systemsteuerung -> Software

Dann Rechtsklick auf Laufwerk C:
- Eigenschaften -> Bereinigen -> von allen Benutzern.

Danach ist ein Teil des Mülls verschwunden.

------------------------------------------------------------------------

Java aktuallisieren © Petra

Java - Einstellungen ändern, ggfs. aktualisieren und Cache leeren

Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Programme und Funktionen aufrufen
Prüfe, ob mehrere Java-Versionen installiert sind.
Es sollte immer nur eine Java-Installation vorhanden sein.
Sind mehrere vorhanden? Falls ja:
Bis auf die aktuellste Java-Version, alle anderen entfernen/deinstallieren.


Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Java aufrufen

Reiter Aktualisierung:
Benachrichtigung ausgeben => Vor der Installation
Haken machen bei Automatisch nach Aktualisierung suchen
Button Erweitert => auf Wöchentlich einstellen => Ok
Falls nicht die aktuellste Version installiert ist, über den Button Jetzt aktualisieren.
Damit wird Java auf den neuesten Stand gebracht.
Download (falls nötig): immer die Offline-Versionen wählen und hier herunterladen.
Vista- und Windows 7 starten die Installationsdatei mit Rechtsklick als Administrator.



Reiter Erweitert:
Automatischer JRE-Download aufklappen
auf Immer automatisch herunterladen einstellen



Sollte der Reiter Aktualisierung bei Dir nicht vorhanden sein, sage mir Bescheid.


Java-Cache leeren

Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Java aufrufen

Reiter Allgemein:
Unter Temporäre Internet-Dateien den Button Einstellungen drücken
Haken entfernen bei Temporäre Dateien auf Computer belassen

Button Dateien löschen drücken
Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK

------------------------------------------------------------------------

Für die Zukunft: © Petra

Absicherung des Rechners

Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

Lesenswerte Blogeinträge zum Thema Absicherung

Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?

------------------------------------------------------------------------

Aber Sorgen macht mir noch der Eintrag:

Error - 27.04.2012 18:59:05 | Computer Name = Tim_Pc | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\DR6 gefunden.

Überprüfe alle Partitionen/Laufwerke auf Fehler
- Eigenschaften -> Tools -> Jetzt Prüfen, beide Häkchen wählen - Ein Neustart ist erforderlich.

Poste dann ein OTL-Log und berichte wie das System läuft.

Tschau

[kira]

hallo Savas, einige Tipps von mir noch:

1.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (unverändert inkl. :OTL, also - nach dem "Code", alles was in der Codebox steht:

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {8D722D0B-39C4-4377-8742-E286A38BE426}
IE:64bit: - HKLM\..\SearchScopes\{8D722D0B-39C4-4377-8742-E286A38BE426}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {7244A14F-B6EA-47BB-8DD2-4B8A1C5EE3B7}
IE - HKLM\..\SearchScopes\{7244A14F-B6EA-47BB-8DD2-4B8A1C5EE3B7}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-545386722-1311408680-3290938494-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/8
IE - HKU\S-1-5-21-545386722-1311408680-3290938494-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/USCON/8
IE - HKU\S-1-5-21-545386722-1311408680-3290938494-1009\..\SearchScopes,DefaultScope = {7244A14F-B6EA-47BB-8DD2-4B8A1C5EE3B7}
IE - HKU\S-1-5-21-545386722-1311408680-3290938494-1009\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.05.06 14:26:23 | 000,000,309 | R--- | M] () - L:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{697079b4-10da-11e0-b1b4-842b2baca1d5}\Shell - "" = AutoRun
O33 - MountPoints2\{697079b4-10da-11e0-b1b4-842b2baca1d5}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -- [2007.10.23 09:45:39 | 001,336,632 | R--- | M] ()

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

3.
erneut einen Scan mit OTL: - ältere Logdateien löschen!

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und extra.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

4.
MBR mit aswMBR von Avast prüfen

Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.log vom Desktop hier in den Thread.

Bitte alle Ergebnisse im Code-Tags posten!

vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein
dahinter - also am Ende der Logdatei:[/code]

gruß
kira

[Savas]

05012012_102510.log
install.txt
OTL.Txt
Extras.Txt

aswMBR

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-05-01 10:46:53
-----------------------------
10:46:53.968    OS Version: Windows x64 6.1.7600 
10:46:53.969    Number of processors: 8 586 0x1E05
10:46:53.969    ComputerName: TIM_PC  UserName: Tim
10:46:54.480    Initialize success
10:47:08.191    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
10:47:08.194    Disk 0 Vendor: Intel___ 1.0. Size: 1843200MB BusType: 8
10:47:08.197    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
10:47:08.200    Disk 1 Vendor: Intel___ 1.0. Size: 64530MB BusType: 8
10:47:08.219    Disk 0 MBR read successfully
10:47:08.224    Disk 0 MBR scan
10:47:08.229    Disk 0 Windows 7 default MBR code
10:47:08.235    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0      109 MB offset 63
10:47:08.247    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS        12542 MB offset 225280
10:47:08.253    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS      1830547 MB offset 25911296
10:47:08.258    Disk 0 scanning C:\Windows\system32\drivers
10:47:13.518    Service scanning
10:47:22.732    Modules scanning
10:47:22.747    Disk 0 trace - called modules:
10:47:23.093    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
10:47:23.102    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007e66060]
10:47:23.110    3 CLASSPNP.SYS[fffff88000c5543f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007b0d050]
10:47:23.119    Scan finished successfully
10:48:53.052    Disk 0 MBR has been saved successfully to "C:\Users\Tim\Downloads\Desktop\MBR.dat"
10:48:53.055    The log file has been saved successfully to "C:\Users\Tim\Downloads\Desktop\aswMBR.txt"

danke :)