Hallo,

ich bin heute morgen von einer Meldung von AVIRA AntiVir Personal Edition überrascht worden. Es wurde offensichtlich ein Virus gefunden, den ich in die Quarantäne gesteckt und dann gelöscht habe. In dem Moment, als das Ding gelöscht war, sind plötzlich lauter Fenster und Meldungen wegen Virenfundes aufgetaucht und ein Malware-Scanner, den ich noch nie zuvor gesehen hatte, der aber relativ echt aussah. Beim zweiten Blick war klar, dass das Ding nicht echt ist. Ich habe nichts getan, nur die aufpoppenden Fenster weggeklickt.

Mein BS ist Win XP SP3

Dann habe ich Google angeworfen und bin schnell hier gelandet. Danach ging ich dieser Anleitung folgend vor:
http://www.trojaner-board.de/86690-a...entfernen.html

- abgesicherter Modus gestartet
- rkill.com geladen und ausgeführt
- dann Systemsteuerung / Internetoptionen / Proxy Einstellungen (es war kein Haken gesetzt)
- Malwarebytes Anti-Malware geladen und installiert und einen vollständigen Scan ausgeführt (es ging direkt ohne es in Herbert.exe umzubennen, etc (s. Anleitung))
- es wurden 14 (!) infizierte Objekte gefunden, die hab ich entfernt (es kam die Meldung, dass die Entfernung mit einem Neustart beendet wird)
- beim Neustart blieb der PC hängen (ich hab ca. 5 bis 10 min gewartet, aber es hat sich nichts mehr getan) -> ausschalten
- beim erneuten Booten kam die Meldung, dass der PC beim letzten mal nicht ordnungsgemäß gestartet werden konnte mit einer Auswahl: ich habe "normal starten" gewählt. Wieder konnte Windows nicht geladen werden. -> ausschalten
- beim nächsten Mal habe ich mich bei der Auswahl für "die letzte funktionierende Konfiguration entschieden" -> Windows wurde gestartet
- ich wollte das Internet starten, ging aber nicht: "Die Verbindung zum Proxyserver konnte nicht hergestellt werden. Der Zugriff wurde verweigert."
- ich habe in den Internetoptionen nachgeschaut, dort war ein Haken bei Proxyserver (ich gehe nicht über einen Proxy online). Ich hab das so gedeutet, dass die Malware noch nicht restlos entfernt ist.

Hier mal die Log-Datei von Anti-Malware (leider ist die Log Datei vom Zeitpunkt unmittelbar vor der Entfernugn der Malware. Hab ich beim ersten Mal nicht gleich gecheckt ):

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

06.09.2010 11:22:33
mbam-log-2010-09-06 (11-22-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 262564
Laufzeit: 40 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adccxxgv (Rogue.SecuritySuite) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\ebslchqvf\lrsgqjhshdw.exe (Rogue.SecuritySuite) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\gpupdate.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\1B8.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\1B9.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\1BD.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\1BE.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\1BF.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\mkcxhunr.exe (Rogue.SecuritySuite) -> No action taken.
C:\Dokumente und Einstellungen\********\Startmenü\Programme\Autostart\gpupdate.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

- okay, es kamen zwar keine dubiosen Pop-Ups mehr, aber da der Haken in den Internetoptionen bei den Proxyeinstellungen wie gesagt gesetzt war (und damit mein Internet blockiert), habe ich mich entschlossen, nochmal zu scannen.
- abgesicherten Modus gestartet
- analog der Anleitung (letzter Punkt) OTH - OTHelper - Kill All Processes besorgt und gestartet
- anschließend nochmal ein vollständiger Scan mit Anti-Malware (diesmal nur das System-Laufwerk C:\, da es auf D:\, E:\ und F:\ keine Funde gab).
- es gab 7 Befunde:

Log File:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

06.09.2010 12:14:59
mbam-log-2010-09-06 (12-14-59) Run2

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 197784
Laufzeit: 26 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Avenger\gpupdate.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80018591-4A64-461F-A16D-5EFB83C387CE}\RP22\A0016948.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80018591-4A64-461F-A16D-5EFB83C387CE}\RP22\A0016949.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\jvrknhu.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

- anschließend Neustart
- diesmal hat Win XP anstandslos gebootet
- der Haken bei den Proxyeinstellungen war immer noch gesetzt, Internet größtenteils geblockt
- dann hab ich nochmal die Log-Datei gecheckt und mich anhand der Befunde im System Volume Ordner entschlossen, die Windows Systemwiederherstellung zu deaktivieren und die Wiederherstellungspunkte zu löschen.
- danach ein 3. Scan mit Anti-Malware (erneut zusammen mit OTH - OTHelper - Kill All Processes)
- dieses Mal wurde wurden 3 Objekte gefunden

Log-File:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

06.09.2010 13:41:53
mbam-log-2010-09-06 (13-41-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 187127
Laufzeit: 19 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Berichtigt mich, aber diese 3 Fehler sind kein Virus oder Mal-Ware, sondern die Windows eigene Firewall, sowie das Windows Antivirus Programm und Windowas Autoupdate? Die waren nämlich von mir deaktiviert und nach den Scans jeweils plötzlich aktiviert.

Ok, nach dem 3. Scan hat Windows problemlos gebootet, der Haken bei den Proxy-Einstellungen ist weg und das Internet scheint problemlos zu gehen. Auch sonst ist mir nichts aufgefallen. Scheint alles wieder normal zu sein.

Frage: Ist mein System wieder clean? Gibt es noch etwas zu tun / überprüfen / im Auge zu behalten?

Danke für die Hilfe

Hallo, ich bin mittlerweile auf diesen Thread gestoßen. Scheint weitgehend dasselbe Problem zu sein:

http://www.trojaner-board.de/90209-security-suite.html


Hab mir das mal durchgelesen, und ich denke bei mir lag das Problem in einer veraltetend Java-Version.

Also ich hab mittlerweile absolut keine Symptome mehr, alles scheint zu funktionieren wie zuvor.
Dennoch habe ich mal den OTL Scan gemacht. Kann OTL-txt und Extras.txt aber leider hier nicht posten. Ich paste es hier ins Fenster, markiere es und klicke auf die Raute für die Code-Tags, aber wenn ich dann auf Antworten oder Vorschau gehe, wird "Die Verbindung wurde durch den Server beendet." gemeldet.

Gibt es sonst noch Anhaltspunkte, mithilfe derer man überprüfen kann, ob die Malware noch aktiv ist? ZB irgendwelche Dateien oder Prozesse im Task-Manager?

Greetings Earthlings

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo, danke für die Hilfe, ich hab mich jetzt für die Neuinstalletion entschieden.

Sicher ist sicher und der Aufwand um das Ding restlos wegzukriegen ist fast genauso groß.

Cheers