'TR/Spy.53472.2' [trojan] in C:\WINDOWS\system32\wuauclt.exe

mark2011

Guten Morgen und vorab schon mal Danke an Alle, die sich Samstags-Vormittags Zeit nehmen!

Ich bin von der Spätschicht nach Hause gekommen und habe meine Mails gecheckt + spon.de + Bild.de und zwei free-sms verschickt - wollte meinen PC eigentlich schon aus machen und endlich schlafen gehen, da ist mir der geschlossene Regenschirm vom Antivir-Programm aufgefallen.

Habe drauf geklickt, dort stand: "AntiVir Guard ---> gestoppt" habe dann auf dem Feld daneben versucht ihn wieder zu initialisieren. Tat sich nichts. Dann habe ich den PC neugestartet - der Regenschirm war wieder offen. Doch nach sehr kurzer Zeit (gefühlt <1min) ging er wieder zu und es sah aus wie vorher. Hat mich sehr stutzig gemacht, wollte dann einen Systemcheck machen. Da tat sich eine Weile nichts, doch dann sprangen, erst langsam, dann immer schneller, Fenster auf: (sinngemäß) "Sie können nicht mehrere Prüfungen gleichzeitig machen" (irgendwo war auch eine "4" in dem Satz; ich glaube "4 Befehle gleichzeitig" oder sowas könnte es gewesen sein). PC reagierte nicht mehr, ich habe daraufhin einen gezwungenen Neustart durchgeführt. (Lange auf den Aus-Knopf gedrückt)
Internetverbindung hatte ich schon gekappt (WLAN ist immer aus, bin über Kabel und Router drin). Habe vermutet, es läge an Antivir, bin ins Internet und habe bei chip eine neue .exe runterladen wollen. Jeder neue Tab empfing mich zwar in der Tabzeile mit Namen, aber zu sehen waren Pornoseiten und Gewinnspiele - erstaunlicherweise kann ich mich aber, wie im Moment, über Rechts-Klick "URL öffnen" oder Bookmarks im Internet bewegen. Diese Erkenntnis hatte ich zu diesem Zeitpunkt noch nicht. Da auch meine Firewall (Comodo) den Dienst quittierte, habe ich über einen anderen Computer eine neue Antivir und Comodo.exe geladen und per USB Stick transferiert.
Nach der Installation und Neustarts liefen beide auch und waren neu konfiguriert, dafür musste ich wieder kurz ans Internet. Schon bei dem "Quick-Test" der nach Abschluss der Konfiguration des AntiVir empfohlen wird, sind mehrere zwei Trojaner identifiziert worden - ich habe auf "Löschen" gedrückt. Danach gab es eine wilde Schlacht, möchte ich sagen. Ein Update wurde nicht komplett ausgeführt, dann hat TR/Spy.53472.2' [trojan] innerhalb von zwei Minuten 10 Mal angegriffen und dabei "Das auszuführende Programm ist ungültig oder zerstört. Fehlercode: [4]. " beim Planer von Antivir verursacht. Ich habe dann noch mehrfach versucht Antivir irgendwie zum Systemcheck zu bewegen, das hat auch nach unendlichen Anläufen direkt nach einer Neuinstallation gelappt, aber dabei wurde nichts(!) gefunden bis 96%, dann wurde der Dienst gestoppt - nicht von mir.

Dann ging es mit Recherche im Internet an dem anderen Rechner weiter. Highjacker kam dabei raus, aber aus dem Highjacker kam nichts raus. Das Programm hinterließ nichts und ließ sich nur 1 Mal öffnen - bei Neustart "verfüge ich eventuell nicht über die Benutzerrechte".

Das ist der Punkt an dem ich nach etwas mehr als vier Stunden Eigenversuchen eure Seite aufgesucht habe und angefangen hab mich mit den "Goldenen Regeln" zu befassen.

Der erste Schritt mit defogger hat in ganz gut geklappt, sprich ist in einer Textdatei geendet, die ich hinten anhängen werde.

Bei Schritt zwei begannen die Probleme. OTL.exe hat trotz Neustart, keine Programme offen, oder Internet, keine (!) Datei ausgegeben - schon gar nicht zwei. Weder auf dem Desktop noch im Download Ordner. Ich habe es aus beiden probiert - insgesamt sechs Mal. Ich kann das Programm nur ein Mal aufrufen, es schließt sich nachdem ich "Quick Scan" drücke, binnen einer Sekunde. Dann musste ich immer ein neues Runterladen - das habe ich dann aber mit diesem PC gemacht (also dem Angegriffenen). Nach jedem Neustart verschwindet das gelbe kreisrunde Symbol und es erscheint ein Atari-ähnliches weißen Ordnersymbol mit blaume Rand.

Ähnlich ging es bei Schritt 3 zu. Das habe ich drei Mal probiert. Drei Mal ohne zufriedenstellendes Resultat, also auch ohnegeforderte Text-Datei. Mit den gleichen Ordner-Symbolen und auch nur mit einmaligem Zugriff. Allerdings "hält" das Programm eine Idee länger durch. Es scant, dann drücke ich "Nein" und mache den Haken bei IAT weg. Beim Klick auf Scan, kann ich noch sehen, wie es durchläuft, aber dann schließt es. Man hat als User den Eindruck "es wird geschlossen". Wenn ich mich recht entsinne gibt es aber eine Datei, die dabei rausgekommen ist - allerdings nur ein Mal. Sie heißt thumbs.db und befindet sich auf dem Desktop.

Mein Gesamteindruck ist, dass mir hier die Benutzerrechte mehr und mehr genommen werden - habe auch bei jedem Neustart bedenken, überhaupt wieder ins System zu kommen. Aktuell sind bei mir auch alle Sicherheitssysteme offline (Antivir) oder untätig (Comodo).

So das waren meine Erlebnisse der letzten Stunden. Ich hoffe, mein Problem ist deutlich geworden. Verzeiht, wenn ich zuweilen etwas "plump" beschrieben habe, aber so ist kann habe ich es in Erinnerung. Zuletzt noch der Anhang und vielen Dank fürs Lesen und Zeit nehmen! Das weiß ich sehr zu schätzen.

Gruß
Mark


Der Anhang sagt leider "ungültige Datei", deshalb hier defooger_disable.log sagt:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 05:30 on 09/07/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read 1251226524.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-


Bei Thumbs.db weiß ich nicht, mit welchem Programm ich das öffnen kann, anhängen lässt er mich es auch nicht.