hallo zusammen,

ich habe mir wie's scheint gestern ein bis zwei trojaner "eingefangen". Bei Booten des PCs kam die Warnmeldung von AVIRA zur Datei moonxxxxx.exe, die sofort in Quarantäne verschoben wurde.
Fehler beim Booten oder so sind keine aufgetreten.
Im Laufe des Tages habe ich den PC öfters mal neu gestartet und nachts dann erneut den Virenscanner und Spybot drüber laufen lassen.
AVIRA hat diesmal denselben Trojaner Meredrop.A.4682 wie mittags gefunden und zusätzlich noch Crypt.XPACK.Gen.
Beide wurden wieder in Quarantäne verschoben.
Spybot hat einen Fehler durch aktive Trojaner festgestellt unter "Microsoft.WindowsSecurityCenter.Firewalloverride" und dieses behoben.
Seitdem finden beide Programme nichts mehr.

Nun meine Frage(n).
Sollte ich Windows besser neu installieren? Die Trojaner scheinen/schienen ja nicht aktiv gewesen zu sein, oder?! Fehler oder Umleitungen oder so habe ich bisher keine.
Reicht das, was Spybot und AVIRA getan haben oder kommt, käme irgendwann das böse Erwachen, wenn ich's dabei belasse? Ich benutze den PC auch für Online Banking (seit dem Vorfall gestern natürlich erstmal nicht mehr ;-)).
Würde mich sehr über eine Antwort freuen. Zumal, wenn sie hiesse, ich muss nicht neu installieren ;-))

Bitte beachten:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

ähm, entschuldigung, aber heisst das "das verschwinden der symptome heisst nicht dass der pc sauber ist" auf jeden fall neu installieren?
oder hab ich irgendeine der grundregeln missachtet?
werde da grad nicht ganz schlau draus... leigt vielleicht am sonntag abend ;-)

falls damit neu installation gemeint ist, hätt ich noch eine frage.
virenscanner und spybot sind demnach nur als "warnmelder" zu sehen, können aber niemals helfen. richtig? ist einmal was auf dem rechner, ist alles zu spät?

Hallo mile,

Zitat:

ähm, entschuldigung, aber heisst das "das verschwinden der symptome heisst nicht dass der pc sauber ist" auf jeden fall neu installieren?

Nein, das heißt es nicht.

Zitat:

virenscanner und spybot sind demnach nur als "warnmelder" zu sehen, können aber niemals helfen. richtig?

Nein, diese Aussage ist falsch.

Zitat:

ist einmal was auf dem rechner, ist alles zu spät?

Das kommt immer auf die Art der Malware an, mit der der Rechner infiziert ist.


Wenn du Hilfe benötigst, so schlage ich vor, dass du dir meinen letzten Post nochmal genau durchliest und die notwendigen Logfiles erstellst.

Andernfalls kann und wird dir hier niemand helfen.

Vielen Dank.

entschuldigung, war gestern nicht mehr online, daher erst heute weiter.

habe hoffentlich alles richtig ausgeführt und alle logs gezipt und entsprechend angehängt

gruss
mile

Hallo mile,




Schritt # 1: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Berichte von AntiVir nachreichen

• Du hast folgendes geschrieben:
  
  Zitat:

  AVIRA hat diesmal denselben Trojaner Meredrop.A.4682 wie mittags gefunden und zusätzlich noch Crypt.XPACK.Gen.

• Öffne das Control Center von Avira
• Klicke links auf Ereignisse
• Suche nach den entsprechenden Meldungen von AntiVir
• Mit einem Doppelklick auf das jeweilige Ereignis werden dir genauere Informationen angezeigt; diese Zeilen kannst du kopieren und hier ins Forum einfügen.
• Poste mir alle Berichte von Avira, bei denen Malware gefunden wurde.

Schritt # 4: Fragen beantworten
Bitte beantworte uns folgende Fragen:

• Wie läuft dein Rechner derzeit?
• Hast du noch Probleme? Wenn ja, beschriebe uns diese so gut es geht.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von ComboFix ,
• die Berichte von AntiVir und
• die Beantwortung der gestellten Fragen.

Super, danke schonmal für die schnelle antwort.

die combofix datei hängt an und ebenso die auszüge von antivir als txt.datei.
(zusätzlich zu den scan ergebnissen, die entsprechend das verschieben des trojaners in quarantäne zur folge hatte, gibt es aber noch etliche av guard einträge im laufe des tages, die ich jetzt nicht mit rauskopiert habe. dort stand immer "trojaner festgestellt -> zugriff verweigert". braucht ihr die auch?)


zu den fragen, mein rechner hat und hatte die ganze zeit keine probleme gemacht. es funktioniert alles scheinbar fehlerfrei. bis auf die tatsache, dass sich halt antivir und spybot wegen der trojaner gemeldet haben.

CCleaner hab ich übrigens soeben deinstalliert ;-)

Hallo mile,




Schritt # 1: Störende Programme

• Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
• Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
• Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: Java deinstallieren/neu installieren
Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen.
Lade JavaRa von prm753 herunter und entpacke es auf den Desktop.

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
  Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator starten
• Die Sprache auswählen, nimm Deutsch und klicke "Select".
• Klicke auf Weitere Funktionen, mache Haken bei Unnötige JRE Dateien löschen und Sun Download Manager löschen.
• Klicke auf Start und jeweils auf Ja und schließe das Fenster "Weitere Funktionen" wieder.
• Klicke auf Ältere Versionen löschen, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Ja wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 24) von Oracle und installiere es.
Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.





Schritt # 4: Wichtige Updates
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan.
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen





Schritt # 5: ESET Online Scanner

Bitte während des Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Haken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt # 6: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile des ESET Online Scanners und
• das Logfile von SecurityCheck.

hallo,

habe alles versucht nach deinen anweisungen zu machen. denke, es hat soweit geklappt?! die entsprechenden logs habe ich wieder gezipt angehängt ....

Hallo mile,





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Systembereinigung mit Load.exe
Als nächstes müssen wir weitere Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die Load.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Clean Up.
• Starte deinen Rechner neu auf.

Schritt # 4: Programme deinstallieren/löschen

• Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
  • ESET Online Scanner
  • ERUNT
• Führe gegebenenfalls einen Neustart deines Rechners durch.
• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 5: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
           

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 6: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine Anleitung findest du hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks, Cheats, etc.!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 7: Passwörter ändern

• Du warst mit einem Trojaner infiziert, der Passwörter ausspäht.
• Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, etc.) zu ändern.

Schritt # 8: Deine Rückmeldung
Bitte gib uns kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Hallo M-K-D-B

1000 Dank für deine Hilfe! Freu mich riesig, dass das so gut geklappt hat und vor allem, dass ihr das hier so hilfsbereit und kompetent durchzieht.

Würde gern wissen wie das alles genau funktioniert und mithelfen, aber ihr nehmt zzt. wohl leider keine Schüler an. Werde aber sicher hiin und wieder vorbeischaun udn so vielleicht ein bisschen dazu lernen

Eine letzte Frage noch, wir haben bei der "Reinigung" ja auch unter anderem den Teatimer vom Spybot ausgeschaltet. Soll ich den auch besser wieder aktivieren? Auf demselben Weg wie die Deaktivierung?

Soweit erstmal, alles Gute dir und dem Rest vom Trojaner-board und danke nochmal!

Gruss
mile

Hallo mile,


Bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Zitat:

Würde gern wissen wie das alles genau funktioniert und mithelfen, aber ihr nehmt zzt. wohl leider keine Schüler an.

Vielen Dank für dein Interesse. Die zuständigen Ausbilder werden davon erfahren.
Eventuell kannst du ja in naher Zukunft beitreten. Wie ich erfahren habe, wurde die Schule wieder aufgemacht.

Zitat:

Eine letzte Frage noch, wir haben bei der "Reinigung" ja auch unter anderem den Teatimer vom Spybot ausgeschaltet. Soll ich den auch besser wieder aktivieren? Auf demselben Weg wie die Deaktivierung?

Ja natürlich, mein Fehler. Du kannst den TeaTimer wieder auf dem gleichen Weg aktivieren, wie wir ihn zuvor deaktiviert haben.