Hallo zusammen!

Das ist mein erster Beitrag (hoffentlich geht das so einigermaßen in Ordnung) und gleichzeitig Hilfeschrei in diesem Forum, weil ich auch zum ersten Mal überhaupt richtig Probleme mit Trojaner & Co. habe.

System:
Ich --> Laie
Computer --> Win XP HE 2002 SP 3

Problem:
Vor ein paar Tagen schlug AntiVir an und meldete u.a. TR/Fakealert, -Fakescanner, -Spy, -Rootkit, BDS/Backdoor, VBS/Agent, sowie hiddenscript oder s.ä.. Dazu kamen ein weißer Desktop mit dämlichen Warnfenster und ein blöder Bluescreen-Bildschirmschoner. Mit diesen Suchbegriffen bin ich dann hier gelandet und habe festgestellt, das ich nicht allein mit diesem Problem dastehe.

Maßnahmen:
Beiträge dazu lesen und versuchen zu verstehen (ähem), Systemprüfungen mit AntiVir (zum Schluß keine Funde mehr) und Windows-Update.
Es blieben weißer Desktop ohne Warnfenster und der Bluescreen-Bildschirmschoner. Dann habe ich heute Super*antispyware und Malewarebytes geladen, gescannt und Berichte erstellt, die ich einfüge.




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/22/2008 at 06:02 PM

Application Version : 4.21.1004

Core Rules Database Version : 3575
Trace Rules Database Version: 1563

Scan type : Complete Scan
Total Scan Time : 01:02:12

Memory items scanned : 481
Memory threats detected : 0
Registry items scanned : 5583
Registry threats detected : 3
File items scanned : 104244
File threats detected : 32

Adware.Tracking Cookie
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@webmasterplan[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@2o7[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@de.sitestat[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@clickaider[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@mediaplex[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adserver.trojaner-info[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@kontera[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adtech[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@ad.adfill[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adopt.euroclick[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adfarm1.adition[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@advertising[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@doubleclick[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@apmebf[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@tradedoubler[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@www.etracker[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@zanox-affiliate[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@estat[1].txt

Rogue.WindowsSecurityAdviser
C:\Programme\Microsoft Security Adviser\msctrl.exe
C:\Programme\Microsoft Security Adviser\mssadv.log
C:\Programme\Microsoft Security Adviser\mssadv_sp.log
C:\Programme\Microsoft Security Adviser

Rogue.AntiVirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk

Trojan.FakeAlert/Desktop
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Trojan.Unclassified/MSCTRL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{690F8753-E79B-4C47-A7A7-47173CEE7988}\RP5\A0000245.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCJO1J0ER9C.SCR
C:\WINDOWS\Prefetch\BLPHCJO1J0ER9C.SCR-1899AD8A.pf




Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1193
Windows 5.1.2600 Service Pack 3

22.09.2008 19:23:30
mbam-log-2008-09-22 (19-23-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 141440
Laufzeit: 42 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcno1j0er9c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt90B.tmp (Adware.XPAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcjo1j0er9c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.



Wie soll ich jetzt weiter vorgehen?



Beste Grüße und schon mal dickes Danke im voraus,
Thomas.

Hallo zusammen!

die Antworten sind bisher sehr übersichtlich

Habe ich etwas falsch gemacht oder gegen irgendwelche Regeln verstoßen??
Wenn ja, tut es mir leid, liegt dann aber an meiner Unwissenheit.

Also nochmals die Bitte:
Wie gehe ich weiter vor bei meinem Problem?
Kann ich die Dateien in der Quarantäne löschen?
Und danach?


Grüße,
Thomas.

Hi,

hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen.
Aktualisiere bitte Malwarebytes und lasse dein System nochmal scannen und bereinigen.
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Es kann sein das RSIT ins Internet will um HijackThis herunterzuladen. Lasse dies bitte zu)

lg myrtille

Hallo myrtille,

hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen.

danke für die Rückmeldung, ich hatte nur die Befürchtung, das die Betreffzeile nicht aussagekräftig genug ist. Sollte auch nicht ungeduldig rüberkommen.

Aktualisiere bitte Malware*bytes und lasse dein System nochmal scannen und bereinigen.

Habe ich gemacht, diesmal keine Funde.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier.

Zum Anhängen und zum Einfügen in den Text sind die wohl zu groß, ich weiß auch nicht, ob ich da was einkürzen kann? Wie bekomme ich die hier unter?


Danke schonmal und liebe Grüße,
Thomas.

Hi,

wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online.

(sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? )

lg myrtille

wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online.

h**p://www.file-upload.net/download-1135991/info.txt.html
h**p://www.file-upload.net/download-1135997/log.txt.html

(sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? )

In den letzten 5 Tagen nicht, aber es ist noch nicht so lange her, da hat mich SP3 (glaube ich jedenfalls) ewig lange genervt, bis ich mich dem hingegeben habe...


Leicht verwirrte Grüße,
Thomas.

Hi,

sorry du bist schon wieder untergegangen.

Also die Logs sind sauber (und wurden auch nicht durch ein Update ewig lang )

Ich bin ehrlich gesagt beeindruckt, was Antivir bei dir alles abgefangen hat, wenn SUPERAntiSpyware und Malwarebytes keine weiteren Funde gelöscht haben, hat Antivir die Bärenarbeit geleistet gehabt, bevor du dich hier gemeldet hast.

Probleme gibts am Rechner derzeit keine mehr?

lg myrtille

Die Logs mögen sauber sein, was immer das heißt.

Das System ist es nicht. Rogue AntiVirus XP 2008 heißt Formatieren und Neuaufsetzen.

Hallo myrtille,

sorry du bist schon wieder untergegangen.

macht nichts, hat ja doch noch geklappt

Also die Logs sind sauber (und wurden auch nicht durch ein Update ewig lang )

Ich bin ehrlich gesagt beeindruckt, was Antivir bei dir alles abgefangen hat, wenn SUPERAntiSpyware und Malwarebytes keine weiteren Funde gelöscht haben, hat Antivir die Bärenarbeit geleistet gehabt, bevor du dich hier gemeldet hast.

Alle drei (ständig aktualisierten) Programme finden überhaupt nichts mehr, Desktop und Bildschirmschoner ließen sich wieder einstellen!

Probleme gibts am Rechner derzeit keine mehr?

Soweit ich das beurteilen kann, alles so wie vorher, wenn nicht sogar besser.


Liebe Grüße und vielen Dank,
Thomas.

Hallo Pfuscher,

Die Logs mögen sauber sein, was immer das heißt.

da höre ich ich aber kräftige Zweifel heraus...

Das System ist es nicht. Rogue AntiVirus XP 2008 heißt Formatieren und Neuaufsetzen.[/QUOTE]

Kannst Du das für mich mal genauer erklären, bzw. welche Gefahren könnten daraus enstehen, wenn ich jetzt so "weiterfahre"?


Grüße,
Thomas.

Pfuscher ist nicht einverstanden mit unserer Art der Bereinigung. Insbesondere scheint er nicht mit mir einverstanden zu sein, auch wenn ich keine Ahnung hab, was ich ihm getan hab. Auf jedenfall hatte ich bereits mehrfach die Ehre.

Ich habe heute Mittag hier schonmal erklärt, wieso ich eine Bereinigung für unbedenklich halte.

Pfuscher hat gestern seinen Spass hier gehabt und wird wahrscheinlich nicht wieder hier vorbeischauen, deswegen hab ich mir erlaubt deine Frage zu beantworten.

Falls er doch nochmal wiederkommt, kann er seine Argumente ja darlegen.

lg myrtille

Moin myrtille,

Zitat:

Zitat von myrtille

Pfuscher ist nicht einverstanden mit unserer Art der Bereinigung. Insbesondere scheint er nicht mit mir einverstanden zu sein, auch wenn ich keine Ahnung hab, was ich ihm getan hab. Auf jedenfall hatte ich bereits mehrfach die Ehre.
Pfuscher hat gestern seinen Spass hier gehabt und wird wahrscheinlich nicht wieder hier vorbeischauen, deswegen hab ich mir erlaubt deine Frage zu beantworten. Falls er doch nochmal wiederkommt, kann er seine Argumente ja darlegen.

so eine kurze dahingeworfene Meinung (die mich ausführlicher natürlich auch interessieren würde) hilft mir als Laien eh nicht weiter...
Fakt ist, das Du mir weitergeholfen hast, und der Rechner so "aussieht" wie vorher! Natürlich schlafe ich nicht auf dem Baum, und denke in dem Zusammenhang immer an das Schlimmste, aber Internet-Banking o.Ä. habe ich eh nicht auf dem Rechner, da bin ich traditioneller Hardliner...
Falls wieder etwas auftritt, wärme in den Fred halt noch mal auf


Liebe Grüße,
Thomas.

Hi,

ich kann dir noch ein paar Links zur "Grundsatzdiskussion: Neuaufsetzen -ja oder nein?" raussuchen, falls du interessiert bist. Allerdings läuft es meist wirklich darauf hinaus, dass man bei einem kompromittiertem Rechner entweder glaubt, dass mehr installiert wurde als die Bereiniger sehen. Das war meines Wissens bisher nicht der Fall, von daher halte ich das Risiko für klein. Andere mögen das anders sehen.

noch 2-3 Worte zum aufräumen:
RSIT kannst du einfach löschen.
Hijackthis, Malwarebytes und SUPERAntiSpyware kannst du über die Systemsteuerung deinstallieren (Start->Systemsteuerung->Software). Allerdings würd ich dir empfehlen mindestens eines der Antispywareprogramme zu behalten und gelegentlich mit ihnen deinen Rechner zu scannen.

Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

Poste bitte abschließend bitte nochmal ein Hijackthislog.

lg myrtille

Zitat:

Zitat von myrtille

noch 2-3 Worte zum aufräumen:
RSIT kannst du einfach löschen.
Hijackthis, Malwarebytes und SUPERAntiSpyware kannst du über die Systemsteuerung deinstallieren (Start->Systemsteuerung->Software). Allerdings würd ich dir empfehlen mindestens eines der Antispywareprogramme zu behalten und gelegentlich mit ihnen deinen Rechner zu scannen.

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

Poste bitte abschließend bitte nochmal ein Hijackthislog.

lg myrtille

Hallo myrtille,

sorry für die späte Rückmeldung, aber bei mir war ziemlich viel aufgelaufen.
Könnte es probleme geben, wenn ich alle Antispywareprogramme auf dem Rechner lasse? Das Hochfahren dauert allerdings im Moment ziemlich lange...

Noch eine Frage zum Thema Systemwiederherstellung:
"...den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst."

Könntest Du später genauer definieren?


Liebe Grüße,
Thomas.

Hi,

SuperAntiSpyware hat einen Eintrag der beim Hochfahren mitstartet, da könnte es eventuell zu Verzögerungen kommen. Du kannst ja schauen ob es ohne das Programm schneller geht.
Malwarebytes musst du manuell ausführen, das startet nicht automatisch und kann daher den Start auch nicht verlangsamen.

Solange du nicht 2 AntiSpywareprogramme gleichzeitig deinen Rechner scannen lässt sollte es keine Probleme geben.

Die Systemwiederherstellung kannst du nach einem Neustart wieder aktivieren.

lg myrtille