Hallo miteinander

Heute hat sich bei mir während der Internetnutzung auf dem Notebook die Fehlermeldung gezeigt dass die Festplatte beschädigt sei und ich das System neustarten soll. Zeitgleich meldete mein McAfee die Virusmeldung FakeAlert!grb Ich habe den Neustart nicht gemacht sondern habe gleich angefangen einen Festplattencheck zu laufen. Kurz darauf hat sich das System allerdings von selbst neu gestartet.

Nach dem Hochfahren hatte ich keinen Zugriff mehr auf das Systemlaufwerk und die installierten Programme. Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz. Habe dies gemacht und kann nun meine Dateien alle wieder sehen. Da aber die Fehlermeldungen alle bleiben läuft nun mein McAfee auf hochtouren. Glaube aber nicht dass er den Trojaner komplett deinstallieren kann.

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

NB: Ich schreibe von einem Zweitrechner. Habe den infizierten vom Netz getrennt.

Danke für eure Hilfe

West79

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: Fragen beantworten
Zuerst kommen wir zu deinen Fragen:

Zitat:

Zitat von West79

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

Ob eine Neuinstallation notwendig ist, kann ich dir erst sagen, wenn ich einen Blick auf dein System geworfen habe bzw. die Bereinigung nicht gelingt.


Bitte beantworte mir folgende Fragen:

Zitat:

Zitat von West79

Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz.

Sprichst du hier vom Tool unhide.exe?

Gibt es derzeit noch andere Probleme?





Schritt # 2: rKill verwenden
Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

• rKill.com
• rKill.scr
• rKill.exe

und speichere die Datei auf dem Desktop.

• Deaktiviere deine Anti- Viren- Software.
• Starte das Tool mit Doppelklick
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
• Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen, dass es läuft.
• Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.





Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 5: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 6: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
ctfmon.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von MBAM,
• das Logfile von Defogger,
• das Logfile von GMER und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B

Besten Dank für dein Angebot zu Hilfe.

Antwort auf Schritt #1:

Zitat:

Sprichst du hier vom Tool unhide.exe?

Nein. Ich habe den folgenden Eintrag im Trojaner-Board gefunden um unsichtbare Dateien sichtbar zu machen.
http://www.trojaner-board.de/59624-a...tml#post369557

Soll ich dennoch unhide.exe runterladen und ausführen?

Zitat:

Gibt es derzeit noch andere Probleme?

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.
- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Nochmals vielen Dank für deine Hilfe

Gruss
West79

Hallo West79,

Zitat:

Zitat von West79

Soll ich dennoch unhide.exe runterladen und ausführen?

Ja, führe aber zuerst rkill und Malwarebytes' Anti-Malware aus (wie in meiner letzten Antwort beschrieben). Anschließend mache bitte folgendes:


Downloade dir bitte unhide.exe (by Grinler) und speichere die Datei auf deinem Desktop.

• Schließe alle laufenden Programme.
• Starte die unhide.exe.
• Das Tool kann eine Weile brauchen.
• Wenn das Tool seine Arbeit getan hat, wird eine Nachricht aufpoppen "Your files should now be visible"
• Starte den Rechner neu auf.

Anschließend kannst du mit Defogger, GMER und OTL weiter machen.

Zitat:

Zitat von West79

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.

Du beschreibst Symptome, die typische für diese Art von Malware sind.

Zitat:

Zitat von West79

- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Dieses "Fix-Programm", wie du es nennst, ist der Trojaner selbst. Auf keinen Fall starten. Mit rkill und MBAM solltest du es aber in die Schranken weisen können.

Zitat:

Zitat von West79

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Ich warte auf deine Rückmeldung.
Poste alle geforderten Logfiles, sobald es die Zeit zulässt. Erst dann können wir mit der Bereinigung fortfahren.

Hallo M-K-D-B

Ich konnte praktisch mühelos alle geforderten Schritte durchgehen. Hier folgen Meine Bemerkungen und die Logfiles.

Schritt #1: Die Fragen haben wir bereits besprochen.

Schritt #2: rKill hat funktioniert. Hatte danach wieder Schreibrecht auf dem Desktop.

Schritt #3: MBAM ist durchgelaufen. Hier das logfile.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7060

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.07.2011 11:53:02
mbam-log-2011-07-10 (11-53-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179055
Laufzeit: 15 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JUaDAjhRvP (Trojan.FakeAlert) -> Value: JUaDAjhRvP -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\juadajhrvp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\17424164.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         

Schritt #3.5: unhide.exe hat super Arbeit geleistet. Der volle Desktop war wieder hergestellt.

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen? Im Logfile steht nur das:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:16 on 10/07/2011 (Stephen)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Schritt #5: Gmer ist gelaufen und hat den halben Sonntagnachmittag gebraucht. Das log passt hier nicht rein; ist drum geteilt in zwei txt-files im Anhang:


Schritt #6: Auch OTL lief blendend. Das OTL.txt ist ebenso riesig und ist im Anhang un zwei Files unterteilt. Das Extra.txt ebenso im Anhang.



Ich hoffe all dies hilft uns weiter. Was denkst du? Oder sollte ich besser ?

Schöner Gruss
West79

Hallo West79,





Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von West79

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen?

Nein, das mit Defogger lief so, wie es sollte. Alles in Ordnung.

Zitat:

Zitat von West79

Ich hoffe all dies hilft uns weiter. Was denkst du?

Ja, es hilft uns weiter.

Zitat:

Zitat von West79

Oder sollte ich besser ?

Nein. Sowas kommt nur in Frage, wenn alles andere scheitert.
Bislang läufts ja ganz gut.


Zu deiner eigenen Sicherheit bitte ich dich, bis auf weiteres, kein Online-Banking oder andere Online-Geschäfte an diesem Computer abzuwicklen, bis wir die Bereinigung abgeschlossen haben.





Schritt # 2: Systemdateien verstecken
Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Versteckte Dateien und Ordner ausblenden

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 3: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software
• Suche in der Liste Software mit dem folgenden Namen
  • Ask Toolbar
  • Conduit Engine
  • softonic-de3 Toolbar
  • NCH Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 6: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point:
  
  Zitat:

  "LiveReg" = LiveReg (Symantec Corporation)
  "LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation)
  DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

  Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
  Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.
• Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast:
  
  Zitat:

  Drive C: | 50.91 Gb Total Space | 5.02 Gb Free Space | 9.87% Space Free | Partition Type: NTFS

  Besitzt du eine externe Festplatte?
• Wie läuft dein Rechner derzeit?
• Gibt es irgendwelche Auffälligkeiten?
• Was ist das genau für ein Backup?
  
  Zitat:

  C:\RRbackups

  Wozu dient es?
• Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?
• Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der geforderten Deinstallationen,
• das Logfile des TDSS Killers,
• das Logfile von ComboFix und
• die Beantwortung der gestellten Fragen.