[Windows Vista-32 bit] Problem denke Trojaner ??

[Mad Max]

Hallo liebe Gemeinde , zu erst finde ich es sehr schön das es so ein Forum gibt für Leute die sich nicht so gut mit PC´s bzw. Viren und soweiter auskennen und einem dann geholfen wird!

Ich bin selbst nicht so der PC Spezialist......

Nun mein Problem:
Am Sonntag Abend hat mir Vista mitgeteilt das ich einen Trojaner hätte und das dieser entfernt wurde.. Ich meine er hieß EyeSpy oder so?

Aber nun habe ich das gefühl , dass diese Schädlingssoftware doch nicht ganz gelöscht/entfernt wurde und würde mich sehr über eure Hilfe freuen!

Habe auch schon nach eurer Anleitung logs von RSIT und Malwarebyts gemacht (Hoffe das ist was ihr benötigt):

File-Upload.net - RSIT-log-datei..txt

File-Upload.net - mbam-log-2011-10-17--19-30-45-.txt

Gruß Mad Max

[Der Leo]

Hallo,

bitte nun OTL ausführen

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe

1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs 
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
11. Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die

[Mad Max]

Danke für die schnelle Hilfe!

Hier die logs:

File-Upload.net - OTL.Txt

File-Upload.net - Extras.Txt

P.S. ist dir dieses SpyEye schon bekannt ? Was macht es ?

Gruß Max

[Der Leo]

Zitat:

P.S. ist dir dieses SpyEye schon bekannt ? Was macht es ?

Was es macht? -> Trojaner SpyEye plündert das Konto binnen 20 Sekunden

Von daher stelle bitte alle Online Geschäfte damit ein!
SpyEye wird grundlegend erkannt aber es gibt auch davon jeden Tag neue Varianten. Malwarebytes hat schonmal nichts erkannt. Komm erst morgen dazu die OTL Logfile durchschauen.

Zitat:

Vista mitgeteilt das ich einen Trojaner hätte und das dieser entfernt wurde

Kannst du bitte das Log davon Posten?


Machst du Online Banking ect. mit dem PC? Wenn ja sollte man bei dieser Infektion an Formatieren denken.

[Mad Max]

Also Online Banking oder desweiteren betreibe ich nicht , auch nichts anderes mit Überweisungen PayPal oder so .......

Den Log habe ich leider nicht mehr =( Hatte das einfach weggeklikt gehabt und gedacht das sich die Sache damit erledigt hatte. Sorry!

Ja das macht nichts , wenn du es erster Morgen machst , ich werde jetzt auch Off gehen bis morgen nach der Arbeit.

Schon mal vielen Dank!

[Der Leo]

Hi,

1.
Ich sehe das bei dir 2 Antiviren Lösungen laufen (Avast & Norton) Bitte entscheide dich für ein Produkt und deinstallier das andere. Fals probleme auftreten hier wieder melden.

2.
Bitte deinstalliere folgende Programme.

• Tune Up (sinnfrei)
• ICQToolbar
• Sweetim
• vShare Toolbar
• ASKToolbar

Starte den Rechner neu

3.
Hast du Combofix eingesetzt?

4.
• Starte bitte die OTL.exe
• Kopiere nun folgendes in die Textbox (ohne das Wort Code: ).

Code:

:OTL 
PRC - C:\Users\Mad Max\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe ()
SRV - (TuneUp.Defrag) --  File not found
SRV - (SearchAnonymizer) -- C:\Users\Mad Max\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=laptop
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=laptop
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.1.1&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.2&q="
[2010.01.23 15:34:04 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} 
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O4 - HKLM..\Run: [Ocs_SM] C:\Users\Mad Max\AppData\Roaming\OCS\SM\SearchAnonymizer.exe (OCS)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.04.30 18:01:00 | 000,000,053 | -HS- | M] () - F:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0c6acbe6-e7e6-11df-b483-001a4b9482c8}\Shell - "" = AutoRun
O33 - MountPoints2\{0c6acbe6-e7e6-11df-b483-001a4b9482c8}\Shell\AutoRun\command - "" = G:\Startme.exe
O33 - MountPoints2\{d2aea54b-bd0f-11df-9291-001a4b9482c8}\Shell - "" = AutoRun
O33 - MountPoints2\{d2aea54b-bd0f-11df-9291-001a4b9482c8}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
[2010.10.06 21:24:16 | 000,000,138 | ---- | C] () -- C:\Users\Mad Max\AppData\Roaming\urhtps.dat
[2010.10.06 20:28:53 | 000,000,000 | ---D | M] -- C:\Users\Mad Max\AppData\Roaming\cock
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt hier hochladen File-Upload.net - Ihr kostenloser File Hoster!

Hinweis für Mitleser:

Dieses Script wurde speziell für diesen User erstellt.
Es kann nicht auf anderen System (trotz ähnlicher Sympthome) übertragen werden.
Dieses Script kann bei falscher Anwendungen einen Rechner starke schäden anrichten!

[Mad Max]

Hey,
Wenn ich Norton Deinstalieren möchte kommt immer das ein Fehler auftritt und es nicht funktioniert..?

Also TuneUp hatte ich schon mal deinstaliert , und ist auch nicht mehr bei "programmen deinstalieren oder ändern" drin??

SweetIM hatte ich auch bei "programme deinstalieren" deinstaliert und es ist immer noch da... ebenso wie ASKToolbar

ICQToolbar habe ich deinstaliert und vShare Toolbar auch.

Combofix sagt mir nichts ??

Gruß

[Der Leo]

Hi,

Zitat:

Wenn ich Norton Deinstalieren möchte kommt immer das ein Fehler auftritt und es nicht funktioniert

Lad dir von hier
das entsprechende Removal Toll für deine Version herunter und führe es aus.

Für die Ask Toolbat bitte folgendes Tool einsetzen:
ASK Toolbar Remover - Download - CHIP Online

Von SweetIM und TuneUp sind noch einige reste übrig geblieben. Um diese kümmern wir uns später.
Danach kannst du mit dem Fix fortfahren.

[Mad Max]

Okay , also habe Norton und SweetIM jetzt runter.....

Starte jetzt wieder OTL.

Gruß

[Mad Max]

So hier der Bericht von dem FIX...

File-Upload.net - 10182011_181240.log

Gruß

[Der Leo]

Sieht soweit gut aus. OTL bitte behalten da wir später noch die überreste von TuneUp sowie von den eingesetzen Tools entfernen.

Schritt 1
Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Schritt 2

Kaspersky TDSSKiller
Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
• Warte bis zum Ende der Untersuchung und der Desinfektion.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum

[Mad Max]

Also hier der combofix log:

File-Upload.net - combofix-log.txt

Bei dem TDSSKiller da kann ich am ende den log nicht speichern irgendwie ?
ABER das Ergebnis ist: No threats found

[Der Leo]

Combofix sieht soweit gut aus. Beim TDSSkiller werd ich die Anleitung umschreiben. Danke für den Hinweis.

Dan jetzt bitte folgendes Tool anwenden.

PPFscan

• Rechner normal booten.
• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Der Scan dauert etwa 40Minuten, durchsucht dein System auf gestartete Programme und macht einige speziellere Test auf Malware.

[Mad Max]

Also hier die ganzen Logs:

File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - Modules.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt
File-Upload.net - Warnings.txt

Gruß

[Der Leo]

Hi,

ich benötige etwas Zeit um dieses Log zu Analysieren.
Momentan sieht es so aus als würde bei dir noch ein Rootkit laufen.