Guten Morgen,

mir ist beim surfen im Internet leider ein Virus/Trojaner reingekommen

Auf dem Desktop ist ein neues Symbol "Security Center" und es wird die ganze Zeit mit "Security Warning" Panik betrieben.

Habe gleich Internet und Wlan gekappt und zu dem Thema einiges gefunden (allerdings alles was auf mein Problem passte war von 2010 und hat leider nicht funktioniert -> killtask)

Bevor ich also irgendwas falsch mache wollte ich mir lieber professionelle Hilfe holen.

Safe-Mode -> OTL runterladen? oder kann ich das auch von einem Stick auf den infizierten PC bringen oder infiziert das dann auch den Stick?

Danke für die Mühe

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo,
stehe vor einem kleinen Problem ... kann mir die Programme nicht runterladen da da dieser Virus alle Programme wie Firefox etc blockt im abgesichterten Modus kann ich auch nicht hochfahren (Windows 7). Hab es auch schon mit msconfig versucht .. wird auch geblockt.

Kann ich Malwarebytes auch per Stick auf den PC bringen und wie kann ich den Online Scanner benutzen wenn der Explorer nicht öffnet?

Danke

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Wenn ich F8 gedrückt halte beim booten kann ich nur zwischen den Boot devices auswählen und wenn ich dann mit Enter bestätige fährt er "normal" hoch ...
Habe keine Option den Abgesicherten Modus anzuwählen oder mach ich irgendwas falsch?

Ja da musst du F8 etwas später drücken
Ist unglücklich gemacht bei deinem Rechner, denn anscheinend ist diese Taste F8 auch bei dir bevor Windows startet für das Bootdevicemenü zuständig

Alles klar,
habs jetzt zwischenzeitlich geschafft im nicht abgesicherten Modus Malwarebytes zum laufen zu bekommen un lasse grade den Komplettscan durchlaufen.
Danach mach ich dann den Online Scan , falls das nicht im normalen Modus funktioniert weiß ich ja jetzt wie ich in den abgesicherten komme.

Danke

So Malwarebytes und Eset sind jetzt durchgelaufen.
Finde aber die Log-Datei von Malwarebytes nicht?
Im Ordner wo auch die alte Log-Datei ist (damals hatte ich den BKA-Trojaner)
ist sie nicht?
Hatte sich zwar nach dem Scan automatisch geöffnet aber ich hatte sie geschlossen um erst mal Eset zum laufen zu bringen.
Im Reiter Quarantäne und Logfiles im Programm selber ist auch nichts zu finden.
Suchfuntion hat auch keine Treffer ergeben.
Sehr merkwürdig.
Gefunden hatte es auf jeden Fall 4 Dateien/Programme die gelöscht wurden.
Falls Sie wissen wie ich an das Log komme reiche ich es gerne nach.
Hier erstmal das alte Malwarebytes Log

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7466

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

14.08.2011 22:03:50
mbam-log-2011-08-14 (22-03-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|Q:\|)
Durchsuchte Objekte: 638599
Laufzeit: 1 Stunde(n), 34 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Washer2.rar (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\X\AppData\Local\Temp\0.47156826701761323.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Washer2.rar\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Users\X\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
         

Hier das Eset-Log

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\X\AppData\Local\Temp\jar_cache7487971429905734360.tmp	Java/Agent.DU trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\43296140-4feebbce	a variant of Java/TrojanDownloader.Agent.ME trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1187ad0c-4a2cdace	a variant of Java/TrojanDownloader.Agent.ME trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3e852d10-7dc6ad33	multiple threats
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\33a465c2-603a9770	a variant of Java/Agent.DM trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\257cbae1-51121aa4	multiple threats
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\3b21af6c-240d61c9	a variant of Java/Agent.DT trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\6235b46e-6305ab10	a variant of Java/Agent.DM trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\555093b5-40d768c8	a variant of Java/Agent.DU trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\decad36-6d34d4f6	Java/Agent.DS trojan
C:\Users\X\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\2c624048-5236e445	a variant of Java/Agent.DM trojan
         

Danke

Zitat:

c:\Washer2.rar\config.bin (Trojan.SpyEyes)

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen oder alles was Logins erfordert dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

Hey
hm suboptimal aber lässt sich wohl nicht ändern.

Wenn ich jetzt versuche hoch zu fahren kommt "missing operating system" , hat es Windows damit schon selbst geplättet oder komme ich irgendwie noch an meine Daten?

Gestern hatte ich nur die beiden Tests durchlaufen lassen Malwarebytes ->Neustart -> ESET im abgesicherten Modus (Haken für nichts löschen angeklickt) und dann normal runtergefahren.

Edit:Ok habe jetzt den abgesicherten Modus zum laufen gebracht und werde die persönlichen Daten sichern.

Nur so als Verständnisfrage: diese Trojan Spyware ist so heftig das sie nicht mehr aus dem System zu bekommen ist oder ist einfach das Risiko zu groß das doch noch irgendwie Daten gesendet werden?

Danke

Zitat:

Edit:Ok habe jetzt den abgesicherten Modus zum laufen gebracht und werde die persönlichen Daten sichern.

Ist NICHT empfohlen. Du solltest besser über ein sauberes Livesystem Daten sichern und ja, das Risiko bei SpyEyes ist zu groß! Deswegen auch umgehend alle Passwörter ändern (geht auch vom sauberen Livesystem), evtl. sogar bei der Bank anrufen falls du Onlinebanking machst.

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Alles klar werde ich dann in so Angriff nehmen wenn ich genug Zeit habe.

Vielen Dank für die Hilfe.