Fehler gemacht. Wir haben uns vor ein paar Monaten einen neuen PC gekauft und weil alles vorinstalliert war, sind wir irrtümlich davon ausgegangen, dass auch ein Antivir aktiv ist (Norton hat immer mal wieder zum registrieren aufgefordert, aber das haben wir blöderweise ignoriert. )

Nun öffnet sich seit in paar Tagen im Firefox immer dieser zusätzlich mediashift.com Tab. Also hab ich gestern mal forschen angefangen --- und den Norton aktiviert und das System gescannt:

Ergebnis: einige Viren, die aber lt. norton alle isoliert werden konnten. (Protokoll in Norton_Quarantäne.txt) --- Muss ich da noch was tun, oder ist das alles damit erledigt?

Gestern haben sie uns dann auch von ebay benachrichtigt, dass das Konto gesperrt wurde, weil jemand illegal zugegriffen hat. Ich hab jetzt von einem andern PC aus die Passwörter von ebay, onlinebanking und gmx-Mailaccounts geändert.

Die MediaShift-Seite kommt aber weiterhin.
Ich hab deshalb jetzt Defogger und OTL laufen lassen.
Defogger hat nix gesagt. Die OTLs sind im Anhang.

Dann hab ich noch den QuickScan von Malwarebytes laufen lassen. Das erste Mal wurde ziemlich viel gemeldet. (Protokoll in MalWareBytes first run.txt)
Nachdem ich dann "Entferne Auswahl" angeklickt hatte, blieben beim 2.Scan
noch 1 Infizierte Registrierungswert übrig:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\HP\AppData\Local\94b7e507\X ->
(Protokoll in MalWareBytes second run.txt)

Er wurde aber angeblich erfolgreich gelöscht und in Quarantäne gestellt.

Trotzdem kommt weiterhin die Mediashifting-Seite....

Wo kann ich eigentlich Info drüber bekommen, was so ein backdoor-agent alles anstellen kann -- welche Daten da also u.U. jetzt in die Welt gingen? Welche Gefahren da für meine Mailboxen drohen......

Ich hoffe, dass ich hier schnell Hilfe bekomme.
Danke
Sissi

hi, du wirst formatieren müssen, da du online einkaufst ist das das sicherste.
ich helfe dir bei allem, keine angst.
wie sieht es mit onlinebanking aus?
möchte mir vorher noch was ansehen

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hi Markus, schön, dass Du mir hilfst
Ich hab den Combofix nun angestartet, Norton deaktiviert --- aber jetzt steht er seit bestimmt 15 Min an dem Punkt Stufe 4.

Hoffentlich hab ich da nix falsch gemacht. Vorher kam mal ein Fenster hoch mit der Frage nach Netzwerkeinstellungen (HomeNw, Öffentlich...) im Reflex hab ich da auf öffentlich geklickt, ohne dranzudenken, dass ich die Maus nicht bewegen darf. Ist das der Grund dass das Programm jetzt steht?

Zu Deiner Frage: ja, wir machen online banking mit dem Rechner. Ich hab aber vor 2 Tagen die PIN bei der Bank geändert und geh an diesem Rechner nicht mehr ins Banking.

Muss ich eigentlich auch alle gmx-Passwörter aller unserer Accounts ändern oder nur die über die wir bei ebay und Bank angemeldet sind?

ok, ich lass den Rechner einfach an der Stelle stehen -- und hoffe, dass Du heut abend nochmal online kommst. Ich schau gegen 22:15 nochmal rein.

HOFF

okay, ich war wohl zu ungeduldig. Blöd, dass Combofix sagt, das Pgm liefe 10Min und manchmal doppelt so lang. Deshalb war ich dann nach 30 Min und nur 4 Steps doch verunsichert. Aber nach 2,5 Std war es dann auch mit Step 4 fertig und hat weitergemacht. Ich lass es weiterarbeiten während ich schlafe. Morgen dann der post vom log.

Markus, Du hast b4zZ heut abend empfohlen, "lasse das onlinebanking sperren, begründung, zero access rootkit."
Ist das auch nötig, wenn ich die PIN vom Bankacct geändert hab und dort noch nix ungewöhnliches passiert war ? Die Dame an der Notfall Nummer konnte mir die Frage nicht beantworten.

lg Sissi

hab das combofix-log hochgeladen (combofix ist 7 Std gelaufen.)
Warte jetzt sehnsüchtig auf Deine Auswertung
DANKE

das logfile

wenn du die zugangsdaten geendert hast sollte es passen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hi Markus
schade, dass Du nicht schreibst, welche Rückschlüsse sich aus dem combofix log ziehen lassen. Die Mediashift-Seite kommt nicht mehr. Heisst das, combofix war erfolgreich?
Ich hab am Wochenende viel gelesen über Rootkit Infektion, Trojaner, blabla
Dass ich den Rechner neu installieren muss ist mir jetzt klar. Aber mich würd einfach ein bischen detaillierter interessieren, was ich mir da eingefangen hatte (ich bin selber Informatikerin, die aber in den letzen 20 Jahren wenig mit dem Setup von PCs zu tun hatte.)

1) Ich hab mittlerweile die Daten seit dem letzten Backup auf CDs gebrannt -- und die externe Festplatte nicht mehr angeschlossen in der Hoffnung, die war noch sauber.
--> Reicht es wenn ich den Norton-Check über die Platte laufen lasse, bevor ich sie nach dem Aufsetzen verwende um die Daten wieder aufzuspielen?

2) Was ich nicht verstehe: Ich hab am 27. gemerkt, dass ich den Virus hab - am 28. hab ich dann von ebay eine Mitteilung bekommen, dass mein Account gesperrt wurde, weil jemand unberechtigter sich angemeldet hat. Darauf hab ich dann das Passwort (von einem (hoffentlich) sauberen Rechner aus) zurückgesetzt.
Nun hab ich aber am 29. von ebay diese Nachricht wieder gekriegt -- allerdings hat ebay diesmal das Passwort nicht zurückgesetzt.

--> Konnte nun jemand OBWOHL ich das Passwort geändert hatte, in ebay ? Oder ist die Mail eine fake-mail um mich dazuzubringen mich bei ebay anzumelden und mein Passw einzugeben, um das wieder abzugreifen?

3) Was mach ich mit den anderen Rechnern, die hier bei mir im Haus hinter demselben Router hängen ? (Kinder) --- lass ich auf denen auch mal otl und Malwarebytes laufen ? Kann ich da was kaputtmachen?

4) Ich arbeite grad mit einer 60Tages TestLizenz vom Norton. Installiere ich den nach dem Neustart wieder -- oder wäre was anderes besser ?

Wäre schön, DU hast mir ein paar Antworten............
Viele Grüße
Sissi

sorry,
du hast dir das sogenannte zero access (max++) rootkit eingefangen.

dieses rootkit wird sehr stark weiter entwickeld im moment und ist quasi der nachfolger des tdss rootkits. das zero access rootkit gibts zwar schon ein paar jahre lang, aber war zuerst hauptsächlich in den usa aktiv, im letzten jahr hat sich das geendert und wir sehen verstärkt infektionen mit diesem rootkit.

zu 1.
ich würde dir, in zukunft, zu dem programm emsisoft raten, dies kostet 20 € (bei nem shop den ich verlinken werde) pro jahr und das hatt, im gegensatz zu norton, keine probleme eine zero access infektion zu verhindern.
mit diesem programm kannst du die datensicherung prüfen.
2. kann ich dir nicht beantworten, kannst du die mail + header mal als datei anhängen?
es kann auch sein das sich jemand mit dem account anmelden wollte da er dachte der account wäre noch immer in seiner hand.
3. normalerweise sollten die pcs im netzwerk sicher sein, aber du kannst ja mal komplett scans mit Malwarebytes machen.
4. habe ich schon unter 2. beantwortet :-) ich werde dir dann noch weitere absicherungsmaßnamen nennen, aber erst wenn wir beim formatieren sind, möchte das alles in ruhe abklären :-)

Danke
Also dann mach ich mich heut mal dran, den Rechner neu aufzusetzen (stöhn)
Mittlerweile hab ich auch den 1.Laptop gescanned --> da war drauf:
a) Inf. Registry
HKLM\SOFTWARE\Microsoft\Windows\Currentversion\Run|Windows Update (Backdoor.IRCBot) -> Daten: ssms.exe
HKLM\SOFTWARE\Microsoft\Windows\Currentversion\RunServices|Windows Update (Backdoor.IRCBot) -> Daten: ssms.exe
Die hat er angebl. beide erfolgreich gelöscht

Und Avira hat den TR/Agent 188416.79 [trojan] gefunden - und in Quaratäne geschoben.

Das ist ein Uralt-Laptop, den wir halt jetzt wieder in Betrieb genommen hatten, damit wir die Passwörter ändern können. Der hat noch Windows 2000 SP4 und wahrsch. einen 16Bit Processor. Ich hab von Avira zwar die aktuellen VirenDefinitionen runtergeladen, aber die neue PgmVersion von Avira konnte ich nicht installieren. Weisst Du ob emsisoft drauf laufen tät? Dann mach ich auch den platt und setz ihn neu auf.

Wegen Formatieren:
Der PC war ja vorinstalliert. Mein Mann hat dann gleich nach Anweisung ein Systemabbild gezogen und eine SystemReparatur-CD gebrannt. Wie gehe ich jetzt vor ?

klingt so als wäre das gerät ebenfalls infiziert, passwörter müssen also noch mal geendert werden sobald das system neu gemacht wurde.
womit habt ihr die sicherung des pcs gemacht? mit windows 7 backup?

So, der PC ist jetzt neu aufgesetzt anhand des Systemabbild, das wir gleich nach dem Kauf gemacht haben. Ich hab nochmal die TestVersion von norton aktiviert und drüberlaufen lassen.

Die Dateien auf die externe Festplatte hab ich immer mit robocopy gesichert.
Weil da die letzte Sicherung vom 7.1.2012 war, hab ich alle meine Bilder seit diesem Datum und die aktuellen thunderbird/Firefox Dateien auf CD gebrannt.

Der nächste Schritt wäre nun m.E. die externe Festplatte auf Viren zu scannen.
--> Wie gehe ich da vor ??????? In einem anderen Threat hab ich schon gelesen, das ich autorun abschalten muss. Aber reicht das ?
Ist folgendes Vorgehen das richtige :
* Ich schalte autorun ab
* hänge die Platte dran
* und scanne sie mit Norton.
* Alle infizierten Files schick ich in Quarantäne, die restlichen kann ich beruhigt
zurückspielen auf meinen Rechner ?

Nächste Frage: Und wie richte ich dann den PC optimal ein, damit mir das nicht mehr passiert:
* was muss ich beachten fürs banking ? Ich überleg, das nur noch in virt.machine zu machen. Gut?
* einen Account ohne Admin-Rechte zum Surfen

Ideen hab ich viele. Aber gibt es vielleicht auch einfach ein "Kochrezept-Buch: Wie richte ich mir meinen PC sicher ein". Hast Du mir einen Link auf eine Seite, die das gut beschreibt?

hi, erst mal den pc einrichten, dann werden die daten geprüft :-)
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hi Markus, wow D A N K E
Eine Frage hab ich gleich noch, bevor ich die Dokumente alle lese:
ich hab mich gestern kurz mit einem Freund unterhalten. der hat mir als Virenscan G Data empfohlen. Das wäre besonders wenn man VM laufen lässt besonders ressourcenschonend.
Da kosten 3PC 2 Jahre 95 Euro, bei emsisoft 3 PC 1 Jahr 90Euro. Kennst Du G Data? Ist emsisoft besser?