2.07 erwischt oder doch nicht?

[Chris111]

Hallo zusammen,

ich lese seit einigen Stunden intensiv die Beiträge im Netz zu diesem Thema und bin wirklich angetan von eurer Arbeit hier.
Leider hat es gestern abend den Laptop meiner Freundin erwischt.....die 2.07 Variante.

Ich habe versucht einen Scan mich OTL nach euren Anweidungen zu machen, leider hat sich OTL mir verweigert,sprich das Drücken auf den Scanknopf hat nichts bewirkt. Da ich schon einige Stunden dran war, war ich genervt und da die meisten Daten vor einem Monat manuell extern gespeichert wurden, habe ich über rstrui.exe die Sytemwiederherstellung (abgesichert) aufgerufen. Da zeigte er mir an, dass der letzte Punkt vorgestern gesetzt wurde, somit einen Tag vor dem Befall. Habe es dann ausgeführt und nachdem sich die Drecksseite immer bei Inetverbindung sofort geöffnet hat, habe ich nun Ruhe. Malwarebites findet auch nichts.

Ist das trügerisch??? Oder habe ich Schwein gehabt.

Vielen Dank an die Experten!!!

Chris

[MG]

Hallo Chris111,

herzlich willkommen im Forum. Nein damit sollte der Trojaner normalerweise weg sein.

Mach zur Sicherheit einen Scan mit OTL.

Lass das Programm OTL im abgesicherten Modus laufen und poste hier die Logfiles. Download und Anleitung hier.

[Chris111]

Hallo MG,

Danke für die fixe Antwort! Hört sich erstmal gut an.
Ich bin ein paar Tage im Urlaub , ohne Laptop. Kümmer mich sofort drum, wenn ich zurück bin und poste dann hier das Ergebnis.

Danke

[Chris111]

So, ich bin zurück aus dem Urlaub. Der Trojaner hat sich bisher weiterhin nicht gezeigt. Ich habe mehrfach versucht im abgesicherten Modus OTL laufen zu lassen, nach wie vor hat es nicht gekleppt. Daher also nun das Ergebnis im Normalmodus. Ich hoffe, dass es ein wenig aussagekräftig ist.......Wäre schön, wenn du mal drüberschauen könntest. Vielen Dank!!

[MG]

1. Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

:Files
C:\ProgramData\rat_0ybba.pad

:Commands
[PURITY]
[EMPTYTEMP]
[EMPTYFLASH]

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


2.
Mache bitte im Anschluss einen vollständigen Scan mit Malwarebytes und poste hier das Logfile. Anleitung und Download hier.

3.
Deinstalliere bitte alle Toolbars wie z.B. von ebay, Ask, MSN, Conduit, Yahoo, SweetIM, Bandoo, iLivid usw. unter Systemsteuerung - Programme.

4.
Prüfe hier deine Plugins auf Aktualität und mache updates wenn dies angezeigt wird.

5.
Wichtig! Setze die Einstellung des Internet Explorers zurück. Hier kannst du lesen wie das geht

[Chris111]

Hier schonmal der Log-File, malwarebytes läuft:

Code:

All processes killed
========== OTL ==========
========== FILES ==========
C:\ProgramData\rat_0ybba.pad moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41044 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Maja
->Temp folder emptied: 100951916 bytes
->Temporary Internet Files folder emptied: 99951378 bytes
->Java cache emptied: 64542 bytes
->FireFox cache emptied: 100894443 bytes
->Flash cache emptied: 45431 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1071924 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36032282 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 323,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Maja
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08202012_172652

Files\Folders moved on Reboot...
C:\Users\Maja\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...
File C:\Users\Maja\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
[2012.08.20 17:42:17 | 000,000,000 | ---- | M] () C:\Windows\temp\_avast_\Webshlock.txt : Unable to obtain MD5

Registry entries deleted on Reboot...

[Chris111]

Und hier noch das Ergebnis vom Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.20.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Maja :: MAJA-TOSH [Administrator]

Schutz: Aktiviert

20.08.2012 17:52:20
mbam-log-2012-08-20 (17-52-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 345665
Laufzeit: 54 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Die anderen Punkte sind in Angriff genommen worden. Und, sauber?

Vielen Dank für die Mühe

[MG]

Wenn du die restlichen Punkte gemacht hast sind wir fertig.

[Chris111]

Habe ich, und wirklich herzlichen Dank!

[MG]

Gerne, dann schließe ich hier und empfehle dir diese Artikel noch zu lesen:

Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Browser und Plugins aktuell? Hier prüfen!
DNS manipuliert?