Trojanner infection

Hallo!
Habe ein Trojaner runtergeladen und installiert.War angeblich ein tolles Programm und bin drauf reingefallen.Natürlich ist mcaffe virus scan schon durchgelaufen und ad-aware pro findet auch keine Dateien mehr.Aber..es läuft immer noch "bravesentry2.0" und angeblich scannt meine Festplatte und findet jede menge infizierte Dateien.Was ist das für ein M... und wie werde ihm wieder los? Manuell schon alles mit Namen "bravesentry" gelöscht aber nach neustart ist alles wieder da.Bitte um Hilfe
Viele Grüße
Tomek

 

Hallo,
poste mal einen Link zu deinem HijackThis Log wie hier beschrieben.

Außerdem machst du mal folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren!



Grüße Jasager

 

logfile als anhang

 

Hallo,
sieht nicht gut aus, überprüfe mal folgende Dateien(falls vorhanden):
C:\WINDOWS\SYSTEM32\nkunpack.dll
C:\WINDOWS\SYSTEM32\access98.dll
C:\\mousepad1.exe
C:\\keyboard1.exe

hier und poste das jeweilige Ergebnis.


Grüße Jasager

 

Also, im System-Ordner war fast die ganze MSBlast - Familie vertreten:

teekids.exe

enibiei.exe (oder wie das Ding heißt)

msblast.exe

und bei den Diensten: *****.exe

Wirklich exquisit, diese Sammlung.

 

Hallo,
@mroszewski
??
Hast du irgendwelche Informationen die ich nicht habe? Im HijackThis Log kann ich derartiges nicht erkennen?


Grüße Jasager

 

"nur" keyboard1.exe war noch vorhanden alle anderen sind nicht mehr da

 

ich hoffe system ist wieder clean ein problem bleibt aber :
unter Systemsteureung-Anzeige -Desktop kann ich kein hintergrundbild ändern es bleibt diese schwarze Bild "Your computer is in danger"
Wo in der Registry kann ich die Eigenschaften von Anzeige wieder aktivieren?
Grüß
Tomek

 

Hallo,

Grüße Jasager

 

tja sieht glaube ich nicht wirklich gut aus ,Frage ist :was nun?(außer natürlich format c: )

 

log datei als anhang
Viele grüße
Tomek

 

Hallo,
das sicherste wäre Neuaufsetzen, wenn du das absolut nicht willst kannst du es mit folgendem versuchen:
Lösche mit Killbox folgende Dateien on reboot:
C:\Windows\0keyboard11.dat
C:\Windows\gimmygames.dat
C:\Windows\ms1.exe
C:\Windows\tool4.exe
C:\Windows\tool1.exe
C:\Windows\toolbar.exe
C:\Windows\country.exe
C:\Windows\kl1.exe
C:\Windows\tool2.exe
C:\Windows\uniq
C:\Windows\desktop.html
C:\gimmysmileys1.exe
C:\drsmartload1.exe
C:\winstall.exe

Edit
Jetzt hat Bitdefender schon ein paar der Dateien entfernt, lösche noch die restlichen

Lösche danach den Inhalt des Ordners C:\!killbox

Außerdem postest du nochmal die Datfind.bat Logs, aber nur die von C:\Windows und von C:\, dieses mal bitte mindestens bis Anfang März zurückgehend, besser wäre einen ganzen monat.

Außerdem gehst du mal unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info, oder ähnliches entfernen.



Grüße Jasager

 

Außerdem gehst du mal unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info, oder ähnliches entfernen.



und das eben geht nicht ,schaltflache löschen ist grau
logfile wieder dabei mehr zeigt der script nicht an
jetzt alles ok?
Danke für Deine Hilfe
Grüß
Tomek

 

Hallo,
hmm, ist der Eintrag immernoch gesperrt. Lösche mal noch die datei:
C:\Windows\keyboard11.dat

Außerdem fixt(Haken davor und auf "fix checked") du noch folgende Einträge mit HijackThis:
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll

Dann machst du einen Neustart und postest ein neues HijackThis log.

Außerdem wendest du mal folgenses Tool an und postest das nach "1" erstellte Logfile.
Geht es nachdem du Punkt "2" angewendet hast den Eintrag bei Desktop anpassen>>web zu ändern?


Grüße Jasager

 

neue hijack logfile dabei und JA jetzt ist bei Punkt 2 alles ok Report von diesem tool auch dabei

 

repport file als anhang

 

Hallo,
hast du die O20 Einträge bei HijackThis vergessen, oder kamen die wieder?

Mach mal einen Onlinescan bei Panda und poste was gefunden wird.
Außerdem läßt du dein System mal von ewido scannen und postest auch dort den Report.


Grüße Jasager

 

die 020 Eintrage kamen leider wieder panda logfile ist dabei und ewido scan läuft noch
Grüß
Tomek

 

Hallo,
die Datei
C:\WINDOWS\system32\nkunpack.dll
ist ja doch vorhanden, hast du sie übersehen oder wird sie nicht angezeigt? Wenn du sie findest überprüfe sie bei virustotal.com und poste das Ergebnis (selbiges gilt für die access98.dll).

Falls sie nicht angezeigt wird scannst du dein System mal mit F-Secure Blacklight und postest das Log (wird automatisch nach dem Scan im selben Ordner erstellt fsbl***.txt).


Grüße Jasager

 

Beide dateien sind nich vorhanden d.H. ich kann die nicht finden:-))
Blacklight beta gibt`s ab 10 märz zum download gibt alternativen Download link?