AviraAntiVir hat TR/Graftor.4954.4' [trojan] und ähnliche Malware gefunden

Unregistriert · 9. Dezember 2011

ich hatte meinen Computer eine Weile einem Freund ausgeliehen und als ich ihn nun heute wieder an machte, meldete mir Avira Malware. Ich weiß somit leider nicht, von welchen Seiten diese kommen könnte und bitte euch um Hilfe.

Homie · 9. Dezember 2011

Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Lade bitte Malwarebytes' Anti-Malware herunter und mache bitte mit einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

Sollte das nicht funktionieren, starte den abgesicherten Modus und befolge diese Anleitung.

Der Rechner startet nicht mehr:

Lade mit einem sauberen Rechner HitmanPro.Kickstart und erstelle einen bootfähigen USB-Stick (Anleitung).

Erstelle mit einem sauberen PC eine CD mit Kaspersky WindowsUnLocker oder Avira Rescue Disk.

Logfile mittels OTLPe erstellen und im Forum Fix erstellen lassen (Forum).

Danach gehe wievolgt vor: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Melde Dich, wenn es Probleme gibt.

Unregistriert · 9. Dezember 2011

Internet Explorer (Version = 7.0.6002.18005)
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Der IE ist veraltet. Da Windows ihn aber auch dann intern, z.B. für ICQ und Skype verwendet, wenn fürs Surfen ein anderer Browser verwendet wird, muss der IE aktuell gehalten werden.

PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Soviel zu Safer Networking...

SRV - [2009.03.05 10:54:50 | 000,311,296 | ---- | M] () [Disabled | Stopped] -- C:\Windows\System32\Rezip.exe -- (Rezip)
SRV - [2009.01.30 10:07:00 | 000,282,624 | ---- | M] (Marvell) [Auto | Running] -- C:\Windows\System32\ykx32mpcoinst.dll -- (yksvc)
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Malware

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Browser-Hijacker-Einträge für den IE

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q="
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Browser-Hijacker-Einträge für den FF

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.180.7 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll
CHR - plugin: Java(TM) Platform SE 6 U18 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Die Versionen von Java und Adobe Reader für Chrome sind extrem veraltet und bilden dadurch eine Angriffsfläche für Drive-by-Infektionen beim bloßen Aufrufen entsprechend präparierter Webseiten.

O4 - HKCU..\Run: [{193C4BFE-1266-52B3-3DE2-7F0C19D06C63}] C:\Windows\System32\Us????????.exe ()
F3 - HKCU WinNT: Load - (C:\Users\*\AppData\Local\Temp\dwm.exe) - File not found
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Verdächtig, wahrscheinlich Malware.

O20 - HKCU Winlogon: Shell - (C:\Users\*\AppData\Roaming\Microsoft\Windows\shel l.exe) - File not found
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Verdächtig, wahrscheinlich Malware.

O33 - MountPoints2\{17d8139d-ed97-11e0-9e47-00265eb016fb}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.hta
O33 - MountPoints2\{dd3bfc2f-9511-11de-b0ac-806e6f6e6963}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\index.htm
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ziemlich sicher Autorun-Malware, die angeschlossene Datenträger infiziert.

[2008.12.09 16:23:13 | 000,054,048 | RHS- | C] () -- C:\Users\*\AppData\Roaming\appconf32.exe
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: "ProxyServer" = http=127.0.0.1:50370
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Malware nimmt Kontakt zum Internet auf. Du bist wahrscheinlich Teil eines Bot-Netzes.
Dein PC ist neu aufzusetzen.
Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

Unregistriert · 9. Dezember 2011

Danke fürs Durchschauen. Oh Gott,dann werde ich das alles mal machen

Was meinst du mit "so viel zu safer networking"?

Unregistriert · 9. Dezember 2011

Damit meine ich, dass derartige Software offensichtlich nicht das hält, was sie schon im Firmennamen verspricht.

Andererseits steht da ja ein Ltd. Limited. Darfst dich also nicht beschweren.

Unregistriert · 9. Dezember 2011

Denke daran, zuerst von einem sicheren PC aus ALLE Passwörter zu ändern und dir die benötigte Software herunterzuladen und zu brennen. Der infizierte PC ist dafür ungeeignet und sollte nicht mehr ins Netz.

Externe Datenträger, die zuletzt (so ab 7.12.) dran hingen, sind ebenfalls als infiziert zu betrachten.

Unregistriert · 9. Dezember 2011

Alles klar, bin gerade dabei von meinem Netbook aus, die Passwörter zu ändern und speichere nun alles Wichtige auf CD.

Unregistriert · 9. Dezember 2011

Ich habe nun ubuntu auf dem "kaputten" Computer.
Nun soll ich einen USB-Stick einstecken und dann gewisse Daten hier posten. Kann der USB-Stick nachher noch benutzt werden?

Unregistriert · 9. Dezember 2011

Ich habe nun ubuntu auf dem "kaputten" Computer.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Hö?

Ubuntu soll auf eine CD gebrannt bzw. auf einem USB-Stick installiert sein, damit mit diesem Medium dann gebootet wird, so dass das infizierte Windows inaktiv bleibt.

Unregistriert · 9. Dezember 2011

Ja, das meine ich. So hab ichs gemacht.

Danach muss man ja aber folgendes machen:
"Wenn Ihr einen zu prüfenden USB-Stick einsteckt, erscheint sowohl in der linken Spalte als auch rechtsseitig größer ein Stick-Symbol plus Größenbezeichnung und Name - in diesem Fall einen "Intenso Rainbow" mit einer Speicherkapazität von ~4GB; klickt ihn einmal mit der linken Maustaste an, sodass er geöffnet wird"

Oder kann ich das weglassen? Also das Untersuchen von Wechseldatenträgern auf Autorun-Würmer..

Unregistriert · 9. Dezember 2011

Oder kann ich das weglassen? Also das Untersuchen von Wechseldatenträgern auf Autorun-Würmer..
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Na hast du denn Wechseldatenträger, die infiziert sein könnten?

Unregistriert · 9. Dezember 2011

Nicht dass ich wüsste. Sorry, hab das nicht ganz verstanden.

Deswegen dachte ich, ich frage mal lieber.

Unregistriert · 10. Dezember 2011

Hab jetzt alles gemacht, was in derBeschreibung stand. Muss allerdings noch ein paar Sicherheitstipps davon befolgen. H

Unregistriert · 10. Dezember 2011

Hab jetzt alles gemacht, was in derBeschreibung stand. Muss allerdings noch ein paar Sicherheitstipps davon befolgen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Internet Explorer (Version = 8.0.7601.17514)
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ja, z.B. einen aktuellen IE installieren. Da Windows ihn auch dann intern, z.B. für ICQ und Skype verwendet, wenn fürs Surfen ein anderer Browser verwendet wird, muss der IE aktuell gehalten werden.

Unregistriert · 10. Dezember 2011

Da bin ich gerade dran.

AviraAntiVir hat TR/Graftor.4954.4' [trojan] und ähnliche Malware gefunden

AviraAntiVir hat TR/Graftor.4954.4' [trojan] und ähnliche Malware gefunden

SysProfile Windows Foren

Hardware Foren