Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7

EmmaTiger

Liebes Trojaner-Board Team!

Mein Rechner wurde, vermutlich durch eine mit Schadsoftware befallene Internetseite, mit Malware infiziert. Aufmerksam wurde ich durch eine E-Mail vom Abuse Team der Telekom, dass von meinem Internetanschluss SPAM Mails versendet würden. Der Befall bestätigte sich durch ein Scan mit der unter Windows 7 vorhandenen Software Windows Defender: "Auf dem Computer wurden Programme gefunden, die Ihre Privatshpäre gefährden oder den Computer schädigen können. Warnstufe: Schwerwiegend/Hoch. Zu meiner Schande muss ich gestehen, dass weder das Betriebssystem noch diverse Programme (ich bin sicher, ihr werdet sie alle finden ;-) wie auch der IE nicht "aktuell" sind. Bisher war ich der Meinung, dass eine Portion gesunder Menschenverstand und aktuelle Virensignaturen beim Surfen im Internet ausreichend schützen. Manchmal muss man seine Meinung ändern. Wieder was gelernt! Auch ein Backup zu haben ist sicher nicht schlecht. Aber es nützt wenig, wenn es zu alt ist: Noch was gelernt!

Eine erste Schnellüberprüfung des Systems meldete einen Befall mit Trojan:Win32/Necurs.A. Da ich nicht alles falsch machen und Spuren verwischen wollte, habe ich zunächst versucht, den Schädling unter Quarantäne zu stellen. Zugegeben mit begrenztem Erfolg: Fehler Code 0x8007054f. Interner Fehler. Alles klar? Naja, dann versuche ich halt ihn zu entfernen, dachte ich mir. Zunächst machte ich jedoch einen zweiten Scan, da ich noch nicht so ganz an einen erfolglosen ersten Versuch glauben konnte, oder sagen wir lieber wollte. Das Ergebnis eines zweiten Schnellscans: Befall mit Trojan:Win32/Necurs.A (leider immer noch da) und Trojan:WinNT/Necurs.A auch mit Warnstufe Schwerwiegend/Hoch. Diesmal hatte ich weniger Geduld und versuchte, beide Schädlinge zu entfernen. Windows Defender meldete den Status "Erfolgreich" für WinNT/Necurs.A, jedoch für Win32/Necurs.A mit Status "Fehlerhaft" den zweiten erfolglosen Versuch. Es folgte der Hinweis: "Der Computer muss neu gestartet werden um das entfernen von Spyware und anderer unerwünschter Software abzuschließen."

Bevor ich das tat, fragte ich mich, warum G Data InternetSecurity den Befall eigentlich nicht gemeldet hatte? Ich ahnte Schlimmes und versuchte, es zu starten. Der Splash blieb zunächst beim Initialisieren hängen, bevor G Data AntiVirus sich nach einigen Minuten Wartezeit mit dem Hinweis meldete: "G Data Antivirus kann nicht gestartet werden, weil nicht alle Komponenten initialisiert werden konnten. Bitte starten Sie den Rechner neu." Ich bestätigte mit "OK" und erhielt eine weitere Meldung: "Die RootKit-Prüfung kann nicht mit eingeschränkten Berechtigungen durchgeführt werden." Aha, so ist das also.

Mit einem zugegeben etwas unguten Gefühl startete ich meinen Rechner neu. Dieser bootete träger als sonst und startete mit einem Programm "Systemstartreparatur" und dem Hinweis: "Der Computer konnte nicht gestartet werden. Starthilfe überprüft, ob im System Probleme vorliegen." Für mich begannen bange Minuten, die scheinbar nicht enden wollten. Nach ca. 30 Minuten Wartezeit dann die Bestätigung: "Windows kann diesen Computer nicht automatisch reparieren." Die Diagnose- und Reparatur-Detailinformationen zeigten zum Problemereignis "StartupRepairOffline" einige Problemsignaturen (z.B. 07: CoruptFile) an. Außerdem hieß es: "Wenden Sie sich an den Systemadministrator oder den Computerhersteller, wenn diese Meldung weiterhin angezeigt wird. Klicken Sie auf "Fertig stellen", um den Vorgang zu beenden und den Computer herunterzufahren." Herunterfahren und das war's dann wohl.

Ich gab die Hoffnung noch nicht ganz auf und versuchte einen (normalen) Systemstart. Der Rechner begann zu booten, startete sein Betriebssystem und ist seitdem immer noch hochgefahren. Ein erneuter Scan warnte vor den zwei schon bekannten Trojanern.

Aufgrund der oben geschilderten Erfahrung beim Systemstart scheue ich mich, den Rechner herunterzufahren und/oder neu zu starten. Um nichts falsches zu tun, möchte ich gerne wissen, was ich tun soll bzw. welche Eurer Anleitungen ich verwenden soll. Auf jeden Fall wird es spätestens jetzt Zeit für professionelle Hilfe. Ich weiß, dass kontrovers darüber diskutiert wird: Wenn möglich würde ich mit Eurer Unterstützung gerne versuchen, das Rootkit erfolgreich zu entfernen, um das System zu erhalten und anschließend sicherer zu machen.

Hier noch einige Informationen, die u.U. hilfreich sein können:

- Trojan:Win32/Necurs.A C:\Windows\Installer\{49DD8...ABCE}\syshost.exe Dienst: syshost32
- Trojan:WinNT/Necurs.A C:\Windows\System32\Drivers\2af40...d782.sys Probleme mit Nicht-PnP-Treibern?
- Regkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32] ImagePath="C:\Windows\Installer\{49DD8...ABCE}\syshost.exe" /service
- Ein USB-Stick kann nicht verwendet werden (Treiberproblem ;-)
- CD/DVD-Laufwerk ist verfügbar
- G Data InternetSecurity ist an der Ausführung verhindert
- Zugriff auf bestimmte verdächtige Dateien/Verzeichnisse ist nicht möglich oder erfordert administrative Rechte

Die Internetverbindung habe ich vorsichtshalber zunächst temporär deaktiviert.

Sofern das Euch weiterhilft, kann ich das Logfile des Windows Defenders posten. Wenn ja, sagt mir bitte, wo ich es finde. Mit anderen Malware-Tools habe ich bisher noch nicht gearbeitet, nehme aber an, es wird nicht mehr lange dauern ...

Vielen Dank im Voraus für Eure Unterstützung :-)