Infektion mit XP Total Security und Trojanern

9xUnklug

Hallo zusammen,

und erst mal großes Lob an Euch. Es war für mich schon öfter sehr aufschlußreich sich hier zu informieren, wie man das eine oder andere Problem (nicht nur von mir) wieder in den Griff bekommt.

Jetzt hat es bei mir zugeschlagen.
Was bisher geschah:

Habe mir beim Besuch von Seiten mit sagen wir mal eher spärlich bekleideten Menschen mit eindeutigen Beschäftigungen diesen Wiederling eingfangen: XP Total Security
Ja, Strafe muß sein!
Avira hatte diverse Funde gemeldet und diese in Quarantäne verschoben. Exdoer.BE.2, TR/Drop.Softomat.AN, JAVA/MundGura.D usw.. Neben bei hat sich XP Total Security eingenistet.

Nannte sich im taskmanager hne.exe , konnte da auch kurzfristig gestoppt werden, bis man eine Aktion wie ein Programm starten gemacht hat und schwupps - da war er wieder.
Über die Suchfunktion konnte die hne.exe schnell im temp-Verzeichnis des zum Infektionszeitpunkt aktiven (eingeschränkten) Benutzers lokalisiert werden.
Andere Benutzerkonten waren offensichtlich nicht betroffen. Keinerlei Aktivität und augenscheinlich alles normal.

Also flugs gelöscht und Ende mit dem Spuk. Von wegen! Kein Programmstart mehr über Desktopikons, START/PROGRAMME ect. . Einige gingen trotzdem, Outlook z.B.. Denke mal weil die Verknüpfung auf C:\Dokumente und Einstellungen\All Users\Startmenü\Programme zeigt.

Somit dann mal fleißig Informationen gesammelt über Entfernung von XP Total Security / XP Total Security 2011 und Freunden.
z.B. bei Euch (http://www.trojaner-board.de/95835-x...entfernen.html)

Also rkill + malwarebytes (aktualisiert) angewendet und Funde dann auch beseitigen lassen.
Logs:
rkill 03.06.2011.log
mbam-log-2011-06-06 (07-58-01).txt
mbam-log-2011-06-03 (16-00-07).txt
mbam-log-2011-06-03 (17-12-42).txt


Weiterhin keine Programmstarts.

Nächste Idee: Versuch mit Adminrechten (anderes,bestehendes Konto / abgesicherter Modus) Systemwiederherstellung auf 2 Tage vor Befall. Ja, hab dann später auch gelesen, daß das eher nicht der Bringer ist. Muß sagen: stimmt!
Folgende Meldung: Ordner wurden umbenannt
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2)
C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2)
(beides eingeschränkte Benutzer, Daten sind noch vorhanden falls benötigt)

wieder fleißig gegoogelt

Anschließend das Problem der nicht startenden exe Dateien Schritt für Schritt manuell beseitigt. Soll heißen erst mal registry gesichert und dann anhand von z.B. rkill.reg (C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\RarSFX0\rkill.reg) und anderen Beispielen aus dem Netz alle Schlüssel und Werte entfernt / korregiert, die eindeutig mit XP Total Security (z.B. regedit - STRG+F - hno.exe) in Zusammenhang stehen, bzw. das Ausführen von exe Dateien ermöglichen.
Weiter aus den temp Ordnern + Papierkorb offensichtlich dazugehörigen Schrott gelöscht.


So weit - so gut. User1 läuft wieder.


Dann umgehend das XP SP3 Update Pack 3.32 (Voll) von WinFuture (ich hoffe das ist so korrekt genannt, sonst bitte entfernen) laufen lassen. Lief sauber durch.

trotzdem solche Meldungen Ereignisanzeige:

Ereignistyp: Fehler
Ereignisquelle: HotFixInstaller
Ereigniskategorie: Keine
Ereigniskennung: 5000
Datum: 05.06.2011
Zeit: 19:07:06
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
EventType visualstudio8setup, P1 microsoft .net framework 3.5-kb2418240, P2 1031, P3 1605, P4 msi, P5 f, P6 9.0.40302.0, P7 install, P8 x86, P9 xp, P10 0.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.

mehrere Male mit wechselnder 3.5-kb24**** bzw. 2.0-kb24****
und

Ereignistyp: Fehler
Ereignisquelle: NativeWrapper
Ereigniskategorie: Keine
Ereigniskennung: 5000
Datum: 05.06.2011
Zeit: 19:06:53
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
Die Beschreibung der Ereigniskennung ( 5000 ) in ( NativeWrapper ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: visualstudio7x80update; msiexec.exe; 1.0.1686.5002; kb2416447; 1031; 66a; f; install; x86; 5.1.2600.2.3.0.768; 0.

und so was:

Ereignistyp: Informationen
Ereignisquelle: MSDTC
Ereigniskategorie: TM
Ereigniskennung: 2444
Datum: 07.06.2011
Zeit: 22:56:27
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
MS DTC wurde mit den folgenden Einstellungen gestartet:

Sicherheitskonfiguration (AUS = 0 und EIN = 1):
Netzwerkverwaltung von Transaktionen = 0,
Netzwerkclients = 0,
Eingehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,
Ausgehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,
Transaction Internet Protocol (TIP) = 0,
XA-Transaktionen = 0

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.

Habe da aber noch nicht weiter nach geschaut, was das so zu sagen hat.


Weiter mit Update auf Firefox 4.0.1 (vorher 3.*** , akteller Stand)


Avira AntiVir Personal - FREE Antivirus
aktueller Stand:
Produktversion 10.0.0.648 01.04.2011
Suchengine 8.02.05.12 01.06.2011
Virendefinitionsdatei 7.11.09.91 07.06.2011
Control Center 10.00.12.29 02.08.2010
Config Center 10.00.13.16 02.08.2010
Luke Filewalker 10.00.04.02 30.04.2011
AntiVir Guard 10.00.01.58 16.03.2011
Filter 10.00.08.07 23.11.2010
Planer 10.00.00.21 30.04.2011
Updater 10.00.00.37 30.04.2011

automatische Updates laufen auch wieder problemlos nach Benutzeranmeldung selbstständig
Habe nach weiterer Infosuche zwecks Trojaner ect. 2 Suchläufe nach Angaben aus dem avira forum durchgeführt.
Logs:
AVSCAN-20110607-225612-85AB8FD8.LOG
AVSCAN-20110607-021113-6429F904.LOG

zusätzlich noch die letzten Ereignisse von Avira
Log:
avira free Ereignisse seit 03.06.2011.txt


Wie Ihr schon richtig sagt unter Punkt 6 der 7 goldenen Regeln: Das Verschwinden der Symptome bedeutet nicht, dass der PC auch wirklich sauber ist.

Somit möchte ich nun ganz nett um Hilfe bitten bei der weiteren Überprüfung/Reinigung, sofern machbar.

Habe mich dann nach dieser Anleitung von Euch: "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?"- Punk 2, weiter vorbereitet und auch diese Logs beigefügt.

Schritt 1- defogger: meldet Fehler + kein Neustart. Ausgeführt als eingeschränkter Benutzer (user1) oder "auführen als" aktueller Benutzer (user1) + Haken weg bei: .... nicht autorisierter Programmaktivität..... , bei "auführen als" -mein administratives Konto- (user0) läuft er zwar durch, verlangt aber auch keinen Neustart.
Schritt 2 - OTL: keine Probleme
Schritt 3 - gmer: läuft nur unter administrativem Konto, also auch nicht mit "ausführen als". Log ist recht kurz.

Begebe mich jetzt vertrauensvoll in Eure Hände und hoffe auf Hilfe.

Sollten mir unbeabsichtigte Fehler unterlaufen bei meinen Angaben wäre ich für einen freundlichen Hinweis dankbar. Dann kann ich es beim nächsten mal bestimmt besser machen.


Was dann noch interressant wäre: Handy (Win mobile 6.1pro) wird per per activesync (4.5.0) mit outlook synchronisiert und manchmal auch als mobiler Datenträger verwendet. Bitte entsprechende Infos zum Infektrisiko in diesem Fall geben.