Hallo zusammen,

und ich habe gedacht mir könne nichts passieren wenn ich immer brav den Virenscanner (Avira) und mein BS (WinXPProf) aktuell halte.
Weit gefehlt! Da war ich wohl zu naiv und blöd.

Was ist passiert?
Am 04.09. bekam ich die berühmte Bundeskriminalamt-Vorschaltseite mit der Aufforderung 100 Euronen zu bezahlen. Statt dem nach zu kommen habe ich sofort die Netzverbindung gekappt und den Rechner hart ausgeschaltet.
Ich bin dann mit einem anderen Rechner ins WWW und habe ein wenig gegoogelt und mir die Desinfec't2011 CD, die sich bei mir im Haushalt befand, angesehen und mir überlegt wie ich vorgehen könnte.
Ich habe dann im abgesicherten Modus mein Laptop neu gestartet und nach einer Datei jashla.exe (die wurde im Netz - wo erinnere ich leider nicht - als Verursacher genannt) gesucht, diese auch gefunden und gelöscht, ebenso wie den passenden Eintrag in der Registry.
Danach habe ich rebootet und einen kompletten Avira-Suchlauf (ein Update war ca. 1 Stunde vor dem "Unfall" erfolgt) durch geführt. Als Ergebnis bekam ich folgendes:

1.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5708b0.qua' verschoben!
und
2.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Danach musste ich das Problem aus Zeitgründen ruhen lassen.

Mit Hilfe der Desinfec't2011 CD habe ich dann einige Helferlein installiert:
mit Secunia PSI fand ich erschreckend viel Software die sich nicht auf einem aktuellen und damit in einem angreifbaren Zustand befand. (Macromedia!)

Komisch fand ich aber, dass sich Word nicht mehr öffnen lies, sondern mit Hilfe der InstallationsSource repariert werden musste.
Ein erneuter Virenscan zeigte mir dann folgendes:

1.)
In der Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
2.)
Die Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7770d9.qua' verschoben!
3.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
4.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
5.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
6.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
7.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
8.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
9.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c25f869.qua' verschoben!
10.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c61ffe1.qua' verschoben!
11.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Außerdem fallen mir einige Unregelmäßigkeiten auf:
das Hintergrundbild ist weg, hier und da gibt es farbige Veränderungen in Oberflächenelementen (z.B.: bei der cmd-Box sind die Elemente -, Kästchen und X blau) außerdem fehlen Ordner oder Files (z.B.: fehlt unter C: der Ordner RECYCLED - stattdessen existiert jetzt ein mit einem File gefüllter Ordner namens Recycle.Bi - einen neuen Ordner mit dem Namen RECYCLED darf ich allerdings nicht erstellen, angeblich existiert der ja schon)

Nachdem ich gestern Abend einen Scan mit " Malwarebytes Anti-Malware " durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert:
1.)
Trojan.Agent Folder c:/programme/premieropinion No action taken
2.)
Trojan.Agent File c:/programme/premieropinion/pmls.dll No action taken
3.)
PUM.Hijack.StartMenu RegistryData HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs Bad: (0)Good1) No action taken

Beim erneuten Recherchieren bin ich hier beim Trojaner-Board gelandet.
Ich habe mir srep.exe geladen und erhalte folgende shell.txt-Datei:


Was kann/sollte ich tun um mein System wieder sauber zu bekommen?
Ich weiß neu Aufsetzen wäre prima, möchte ich aber aus diversen Gründen vermeiden.

Ich sage jetzt schon mal "Vielen Dank" für Eure Hilfe
Rolf

Zitat:

Weit gefehlt! Da war ich wohl zu naiv und blöd.

Updates für Windows sind natürlich sehr wichtig, aber eben nicht alles. Wie du ja über Secunia PSI gesehen hast, muss man für JEDE installierte Software Updates einspielen. Besonders kritisch sind die Programme von Adobe! Also Flashplayer und PDF-Reader. Ebenfalls besonders wichtig sind die Updates bei Java.

Zitat:

Nachdem ich gestern Abend einen Scan mit " Malwarebytes Anti-Malware " durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert:

So eine Zusammenfassung hilft nicht. Du musst alle Logs schon komplett posten.

Hallo Arne,

hier das Malwarebytes-Log:
Was brauchst Du noch?

Danke und Grüße
Rolf

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,
vielen Dank für Deine Geduld!
Hier die Logs (habe eben noch nach Update von Malwarebytes ein frisches gezogen)

Grüße
Rolf

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo Arne,

ist erledigt.

Ein erneuter Scan mit frischem Malwarebytes brachte 0 Meldungen.
Ein kompletter Scan mit ebenso frischem Avira brachte auch keinen Anschlag mehr.
Und trotzdem traue ich der Sache noch nicht.
Was kann ich noch tun?

Besten Dank und schöne Grüße
Rolf

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

hat etwas gedauert weil ich jobtechnisch keine Zeit hatte und dann musste ich einen Scan nach knapp 5 Stunden abbrechen, da ich ins Bett musste...

jetzt, nach gut 10 Stunden, ist der Scan aber komplett durch gelaufen.

Vielen Dank für Deine Hilfe!
Schöne Grüße und schönes WE
Rolf

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich habe mir die OTL.exe geladen und bin nach Deiner Vorschrift vor gegangen.
(Es ist weder ein Virenscanner noch eine Firewall aktiv. Einkopieren der Parameter, Programme schließen, QuickScan, ... )
Aber irgendwas scheine ich noch falsch zu machen.

Nach dem Start des OTL-Scans geht es erst ganz fluffig los:
getting drive info
scanning process
scanning modules
scanning service
scanning driver
Pattern Search ...
Scanning Firefox settings

das ist der Status nach ca 2 Minuten
aber auch noch nach 2 Stunden.
Dabei geht die CPU-Auslastung über 90%!

Ist das ok?
Was kann ich tun?

Schöne Grüße
Rolf

Brich das mal ab, starte Windows neu und versuch es nochmal.

Hallo Arne,

gemacht, aber leider mit dem gleichen Ergebnis:
beim Firefox bleibt der Scan hängen.
Kann das evtl. an irgendwelchen FF-Plugins liegen die installiert sind?

Danke für Deine Unterstützung!
Schöne Grüße
Rolf

Dann mach das Log erstmal nur so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,

ich würde Dir hier ja gerne was anderes schreiben,
aber es bleibt dabei:
beim Firefox bleibt der Scan hängen
:-(

Was rätst Du mir?

Schöne Grüße
Rolf

PS:
ich schaue mir in der Zwischenzeit mal die FF-AddOns an