Hallo zusammen,
ich denke in den nächsten Wochen werde ich wohl nach einer Infizierung nicht um einen Neuaufsatz herumkommen. Was kann ich jedoch kurzfristig gegen folgende Plagegeister trojanischer Pferde (siehe Titel) tun?

Vielen Dank für alle möglichen Hinweise. Weiß es sehr zu schätzen, dass hier viele Experten unentgeltlich mit ihrem Wissen aushelfen.

Hintergrund: Es fing alles Anfang Mai an mit einem wilden scheinbaren Security Tool als Rogueware. Probleme mit Malware entfernt. Ende Mai ein ähnliches Problem, seitdem habe ich den Verdacht, dass Firewall bzw. Virenprogramme nicht mehr 100% funktionieren. Jetzt erneut Trojaner-Befall:

Auswertungen:
- Antivir erkennt die Schädlinge (siehe Auswertung)
- Ebenso eScan (in Teilen sowie mit anderen kritischen Punkten, Sorge machen mir hier auch die Millionen Zeilen von Veränderungen zum Host 127.01 - siehe Auswertung) - was sind das für Seiten und Veränderungen???
- Anti-Malware erkennt heute keine Schädigungen (es wurden jedoch am 01. und 31.05 Trojaner und Rogueware entdeckt und in Quarantäne verlagert)-
-GMER stürzt bei der Ausführung jedes Mal ab (bei Befolgung alles Hinweise).

Was tun?

Auswertung 1: AntiVir

Code: Alles auswählenAufklappen

ATTFilter

Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1778' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Users\Büro\AppData\Local\acprgwizk.exe
    [FUND]      Ist das Trojanische Pferd TR/Meredrop.A.10285
C:\Users\Büro\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\64db5f66-71b851a7
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI
--> Gp4ldtX.class
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI
C:\Users\Büro\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\43172bc5-6ad77723
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.1
--> fiece/Biutedwc.class
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.1
--> fiece/MyYjefe.class
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.2
--> fiece/Oewofvc.class
  [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH

Beginne mit der Desinfektion:
C:\Users\Büro\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\43172bc5-6ad77723
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH
    [WARNUNG]   Die Datei wurde ignoriert.
C:\Users\Büro\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\64db5f66-71b851a7
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI
    [WARNUNG]   Die Datei wurde ignoriert.
C:\Users\Büro\AppData\Local\acprgwizk.exe
    [FUND]      Ist das Trojanische Pferd TR/Meredrop.A.10285
    [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 19. Juni 2010  19:57
Benötigte Zeit: 40:46 Minute(n)

Der Suchlauf wurde abgebrochen!

   5247 Verzeichnisse wurden überprüft
 276351 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 276346 Dateien ohne Befall
   1504 Archive wurden durchsucht
      3 Warnungen
      0 Hinweise
         

Auswertung 2 (eScan)
Auswertung muss hier abgekürzt dargestellt werden.
In der letzten Auswertung - "Zeilen die nicht dem Standard entsprechen"
kommen Millionen von irrwitzigen Seitennamen, jeweils zu folgendem Eintrag

[Code]C:\Windows\System32\drivers\etc\hosts:127.0.0.1[Code]

Eigentliche Auswertung
[CODE]Microsoft Windows [Version 6.0.6002]
Bootmodus: Normal

eScan Version: 11.0.86
Sprache: German
C:\Users\***\AppData\Local\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Program Files\EASEUS\EASEUS Partition Master 5.8.1 Home Edition\bin\xmlparse.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Program Files\EASEUS\EASEUS Partition Master 5.8.1 Home Edition\bin\xmltok.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Users\Büro\AppData\Local\acprgwizk.exe ist durch den Virus "Gen:Variant.Zbot.6 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\lock.dat
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk
Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan-Antiviren- und Antispyware-Werkzeugsatz.
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with CoreGuardAntivirus2009 Corrupted Adware/Spyware (HKEY_CLASSES_ROOT\clsid\{5E2121EE-0300-11D4-8D3B-444553540000})! Action taken: Keine Maßnahme ergriffen.
System found infected with WinFixer/ErrorSafe Adware (lock.dat)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with Your Protection Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved/{5E2121EE-0300-11D4-8D3B-444553540000})! Action taken: Keine Maßnahme ergriffen.
System found infected with Joke.Program BadJoke (HKCU\Software\Local AppWizard-Generated Applications)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending file found: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\lock.dat
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e24407af-c5d2-11dd-a55c-806e6f6e6963} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe -
csrss.exe -
wininit.exe -
csrss.exe -
services.exe -
lsass.exe -
lsm.exe -
winlogon.exe -
svchost.exe -
svchost.exe -
svchost.exe -
Ati2evxx.exe -
svchost.exe -
svchost.exe -
svchost.exe -
audiodg.exe -
SLsvc.exe -
svchost.exe -
svchost.exe -
Ati2evxx.exe -
spoolsv.exe -
sched.exe -
svchost.exe -
taskeng.exe - taskeng.exe {29F8CD2E-7265-473E-97BF-29ED809505A7}
dwm.exe - "C:\Windows\system32\Dwm.exe"
explorer.exe - C:\Windows\Explorer.EXE
taskeng.exe -
MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide
MemCheck.exe -
SysMonitor.exe - "C:\Acer\Empowering Technology\SysMonitor.exe"
issch.exe - "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
avguard.exe -
mcagent.exe - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
RtHDVCpl.exe - "C:\Windows\RtHDVCpl.exe"
avgnt.exe - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
DivXUpdate.exe - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
AppleMobileDeviceService.exe -
TeaTimer.exe - "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
LSSrvc.exe -
mfevtps.exe -
Monitor.exe - "C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe" -startup
svchost.exe -
svchost.exe -
svchost.exe -
SearchIndexer.exe -
avshadow.exe -
MOM.exe - "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE"
eRecoveryService.exe -
capuserv.exe -
WUDFHost.exe -
mcshield.exe -
mfefire.exe -
McSvHost.exe -
SDWinSec.exe -
WmiPrvSE.exe -
conime.exe - C:\Windows\system32\conime.exe
Acer.Empowering.Framework.Supervisor.exe - "C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE"
eRAgent.exe - "C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE"
CCC.exe - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe" 0
WmiPrvSE.exe -
wmpnscfg.exe - "C:\Program Files\Windows Media Player\wmpnscfg.exe"
wmpnetwk.exe -
taskeng.exe -
cmd.exe - cmd /c ""C:\Users\***\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry PCMMediaSharing = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
ERROR!!! Invalid Entry MP4 Player = "C:\Program Files\MP4 Player\mp4Player.exe" hmw (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
System found infected with WinFixer/ErrorSafe Adware (lock.dat)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:[Code]

Wird der Rechner gewerblich genutzt ?

Die Quarantäne Malware kann ich nicht als Code posten (Ergebnisse vom 01.05/31.05). Darf ich diese als Screenshot anhängen?

Hallo Larusso,

nein das ist ein Privatrechner - warum?
Falls du die Frage stellst wg. der Benutzerkonten. Ich habe zwei erstellt eines für private Zwecke (Spiele etc.) und eines für meine Diss. (das heißt "Büro").

Hallo Larusso,

nein. Ich habe zwei Benutzerkonten. Eines für private Dinge und eines für meine Diss. (das habe ich mit "Büro" betitelt.

Ne Frage hab ich noch.

Warum willst Du nicht gleich formatieren wenn Du es sowieso vorhast

Hi Larusso,

weil das längere Zeit in Anspruch nehmen wird und ich die in der nächsten Woche leider nicht habe, aber den Rechner benutzen muss.

Falls du allerdings bestätigen kannst, dass die Probleme mit einer Systemwiederherstellung (Recovery Partition), die man beim Bootvorgang einleiten kann (Hinweis: Ich habe einen blöden ACER Rechner mit Vista 32 Home Premium OEM, jedoch ohne mitgelieferte Installations DVD und wurde damals - ohne Kenntnis wie ich war- auch nicht auf das Herstellen einer Recovery DVD hingewiesen ), gelöst wären. Dann mache ich das sofort.

Aber ich bin in dieser Hinsicht absoluter Laie und habe Bedenken, dass damit die Probleme weiterhin exisitieren könnten und das möchte ich absolut nicht!

Du wirst lachen, ich habe ein Acer Netbook. Und ja mit der Recovery Partition ist das alles eigentlich ganz easy. Du musst nur deine Wichtigen Daten sichern, den rest erledigt die RP.

Ich hab auch zeit den Rechner zu bereinigen, nimmt jedoch sicher nicht weniger Zeit und Aufwand.

Hi Larusso,
danke für die schnelle Antwort. Bin mir nicht ganz sicher, ob ich alles verstanden habe.

Verstehe ich dich richtig, dass die Infektionsprobleme mit der Recovery, die ich beim Bootvorgang (nach vorheriger Abspeicherung der wichtigsten Treiber und meiner Daten) initiiere gelöst sind?

Verstehe ich dich auch richtig, dass bei diesem Recovery Vorgang eine Formatierung der Laufwerke automatisch stattfindet, so dass keine Restprobleme bestehen bleiben und ich ruhigen Gewissens mit dem Rechner arbeiten kann?

Vielen Dank für eine kurze Rückmeldung,

Flo

treiber musst du nicht wirklich sichern ausser für externe Hardware

Ansonsten hast Du mich richtig verstanden.

Hi Larusso,

danke nochmal, werde heute Abend versuchen, das wie besprochen zu realisieren!

Schönen Abend und Grüße,

Flo