Hallo, ich habe das Thema mehrfach hier im Board gefunden, allerdings keinen eigenen Bereich, in den ich hätte mein eigenes Problem hätte "adden" können.

Daher eröffne ich jetzt ein neues Thema, obwohl ich weiß, dass es das Thema bereits gibt und ich das laut euren Regeln nicht darf. Hoffe, ihr beantwortet es trotzdem!

Also -
auch ich habe die E-Mail der Fake-Post erhalten. Leider auch das zip entpackt und die darin befindliche exe doppelgeklickt. Die exe hat sich daraufhin zu einem txt umgewandelt. Strange. Habe dann nochmal die Mail gelesen und die Schreibfehler entdeckt. Da war mir klar, dass das ne Spam-Mail ist. Ab hier gingen auch keine Programme mehr zu starten.

Bin offline gegangen und habe mit einem anderen Rechner nach dem Problem gesucht und euch gefunden.

Habe dann erst einmal die fixexe.reg gesucht und gefunden und im gesicherten Modus ausgeführt. Programme gingen wieder.
Habe dann malewarebytes gesucht, gefunden und ausgeführt. Nach 2 Stunden Suche auch 11 Funde. Habe auf den Punkt "In Quarantäne verschieben" nicht gefunden, daher das PRO gekauft. Keine Änderung. dann hab ich "löschen" (Button ganz links) geklickt, woraufhin es dann doch in der Quarantäne gelandet ist. Dort sehe ich jedenfalls jetzt Dateien.

Die zip sowie den Ordner des Post-Etikett-Dings hab ich gelöscht, auch die E-Mail. Auch den Papierkorb geleert.

Mittlerweile ist der Rechner auch 1x neu gestartet und läuft wieder im Normal-Modus.

Was soll ich jetzt machen?

Hier die Logs:
Anhang 45986

Anhang 45987

Anhang 45988

hi,
1. warne bitte freunde, bekannte etc, vor solchen spam mails
bitte sende ihnen auch diesen link:
markusg - trojaner-board.de
mit bitte, uns spam mails weiterzuleiten, dass selbe gilt auch für dich, wenn du mal wieder welche erhältst, bitte weiterleiten.
2. in zukunft, mails genau lesen, und evtl. rücksprache mit dem absender halten.
2. finger weg von Softonic und anderen dubiosen download quellen, programme nur vom hersteller laden!
3.
lade unhide:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Hi zurück,
habe einen 9 Wochen alten Sohn zu Hause - da komme ich leider nicht so schnell dazu, deine Vorgaben umzusetzen. Jetzt schläft er - daher geht's hier in die nächste Runde:

Zitat:

Zitat von markusg

3.
lade unhide:
hxxp://download.bleepingcomputer.com/grinler/unhide.exe
doppelklicken, dateien werden sichtbar

ist erledigt.

Zitat:

Zitat von markusg

4. am ende der reinigung, musst du alle passwörter ändern!

ähm. ALLE ? Das heißt von allen Website, auf denen ich Accounts habe? Alle Bank-Passwörter, alle Mailpasswörter, u.s.w. oder "nur" Mail-Passwörter.
Soll ich das PW-Schlüsselbund im FF löschen? IE benutze ich nicht.

Zitat:

Zitat von markusg

5.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

ist erledigt. Ich glaube, dass das Macromedia-Ding ok ist. Die anderen sehen mir auch kryptisch aus.

Und -
was mache ich mit den in Quarantäne befindlichen Elementen, die aus dem Scan mit Maleware gekommen sind?

Ganz ganz großen Dank für deine Hilfe!

Und eine Frage habe ich noch:
ich nutze intensiv dropbox, allerdings wirklich nur zum Austausch von Arbeitsdaten mit Kunden. Ist da jetzt noch irgendetwas gefährdet oder kann ich Dateien von dort weiterhin aufrufen und selbst welche reinstellen?

hi,
mit alle, meine ich schon tatsächlich alle, also von mail bis banking.
ich muss dich aber darauf hinweisen, dass wir nie 100 %ig sagen können, ob wir die malware restlos entfernen können, da du mit diesem pc onlinebanking machst, und kundendaten austauschst, wäre evtl. ein neu aufsetzen und absichern ratsam.
wenn du das nicht möchtest, gehts hirmit weiter:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Anbei die Combofix-Log-Datei.

Außerdem habe ich folgende Fehlermeldung erhalten:

Exception EAccessViolation in module ERUNT.3XE at 0003A38. Access Violation at address 00403A38 in module "ERUNT.3XE". Read of address 0076005D.

Die Fehlermeldung (im Windows-Style) kam während der letzten Phase von Combofix, wo auf dem Bildschirm steht, dass man keine Programme starten soll, während CF läuft.

Zitat:

Zitat von markusg

mit alle, meine ich schon tatsächlich alle, also von mail bis banking.
ich muss dich aber darauf hinweisen, dass wir nie 100 %ig sagen können, ob wir die malware restlos entfernen können, da du mit diesem pc onlinebanking machst, und kundendaten austauschst, wäre evtl. ein neu aufsetzen und absichern ratsam.

Habe ja jetzt Combofix ausgeführt.
Neustart steht noch aus.

Aber nochmal zu den PWs.
Ich sollte alle PWs ändern, die in Browsern genutzt werden, richtig? Das wäre ja noch möglich.
Aber was ist mit FTP-Passwörtern? Ich habe ja meine ganzen Kundenserver-Logins in meinem FTP-Programm gespeichert. Müssen die jetzt auch alle angeschrieben werden und neu angelegt werden?

Vielleicht sollte ich dazu sagen, dass ich seit der Infektion weder Mail noch FTP noch Logins in Website genutzt habe. GGf würde die Software doch die PWs stibitzen, wenn die entsprechenden Seiten aufgerufen und eingeloggt werden, oder?

Ein Neu-Aufsetzen möchte ich eigentlich nicht machen.
Habe bisher IMMER einige Tage gebraucht, um alles wieder so zu haben wie es vorher war bzw. ungefähr so wie vorher. Mit dem Baby heißt das dann, dass ich vermutlich Wochen brauchen würde, da ich nicht mehr als 0,5 bis 1 Stunden pro Tag habe, um mich um sowas zu kümmern : (...

Oder gibt es eine Möglichkeit, das System neu zu machen OHNE den ganzen Rechner platt zu machen?

Habe einen DELL Laptop und eine entsprechende Wiederherstellungs-CD.

ja, alle passwörter musst du endern,
da einige der spam variannten ftp passwörter stehlen, um dann wiederum die ftp server zu infizieren, um diese zu nutzen um andere pcs zu infizieren.
warum hast du keine backups?
wenn du das gerät beruflich nutzt, was würdest du denn bei einem festplatten schaden machen?
ich würde dir, tatsächlich raten, neu aufzusetzen.
dann können wir uns darum kümmern, dass du ne vernüftige absicherung des pcs machst, und endlich backups anlegst :-)
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Zitat:

Zitat von markusg

ja, alle passwörter musst du endern,
da einige der spam variannten ftp passwörter stehlen, um dann wiederum die ftp server zu infizieren, um diese zu nutzen um andere pcs zu infizieren.

Und wann genau werden die PWs gestohlen? Wenn ich das FTP-Programm aufmache oder wenn ich die Verbindung einsetze oder einfach schon ohne dass das Programm aufgemacht wurde?

Zitat:

Zitat von markusg

warum hast du keine backups?

Ich habe ein Backup meiner Kundendaten, jedoch nicht der ganzen Programme. Das ist ja das, was so nervt beim Neu-Aufsetzen. Windows ist in 2 Stunden installiert, aber die Arbeitsumgebung wieder herzustellen mit allen Arbeitsprogrammen und Tools ist so zeitaufwändig.

Wie kann ich denn erkennen, ob ich überhaupt noch infiziert bin? Ggf muss ich ja nicht neu installieren, wenn ich keinen Infekt mehr habe, oder? Immerhin - wenn ich die jetzigen Daten auf einen externen Speicher ziehe, dann überprüfe und wieder zurückspiele gibt es doch eigentlich keinen Unterschied als wenn ich es jetzt noch einmal prüfe. Wäre ganz ganz toll, wenn du mir kurz erklärst, was den Unterschied aus macht.

Zitat:

Zitat von markusg

wenn du das gerät beruflich nutzt, was würdest du denn bei einem festplatten schaden machen?

Dann würde ich den Dell-Support anrufen ; ) Und natürlich in den sauren Apfel einer Neu-Installation beißen. Dann geht's ja nicht anders.

Zitat:

Zitat von markusg

ich würde dir, tatsächlich raten, neu aufzusetzen.
dann können wir uns darum kümmern, dass du ne vernüftige absicherung des pcs machst, und endlich backups anlegst :-)

Gibt es denn etwas ähnliches wie TimeMachine für den Mac auch für den PC? Das nervige ist ja, dass ich keine vernünftige Backup-Software finde und hier sicherlich keine Bänder oder Racks installieren möchte. Ich habe eine externe Festplatte auf die ich von Zeit zu Zeit meine Kunden-Arbeitsdaten kopiere. Aber wenn ich die Struktur ändere, haut schon alles nicht mehr hin. Ein irgendwie geartetes CVS-ähnliches Tool wäre großartig. Habe nur noch nix gefunden. Einfach ein Teil, dass die Backups von alleine rüberschiebt und auch immer nur ändert, was auch geändert wurde und Dateistrukturänderungen auch übernommen würden.

hi,
die passwörter können evtl. schon so ausgelesen werden.
warum hast du denn kein backup des gesammten systems? das geht auch, und dann hätte man keine probleme bei festplatten schaden.
natürlich müsste man bei kunden daten etc überlegen, dass man 2 backups macht, die man an 2 orten lagert, zb in einem bank schließfach, falls mal wer bei dir einbricht, es brennt oder ähnliches.
sicher sein, dass die malware weg ist, kannst du nicht deswegen, neu aufsetzen.
zum backup nutze ich paragon, dass sollte das können was du brauchst.
aber wie gesagt, erst mal muss neu aufgesetzt werden.