Liebes Trojaner-Board,

Für diejenigen, die es eilig haben und nicht so viel Text lesen wollen: weiter unten befindet sich das Ergebnis des Scans mit Malwarebytes

Seit ein paar Tagen habe ich Probleme mit meinem PC. Es sieht nach einem Viren-/Trojanerbefall aus - ich bin da aber leider keine Fachfrau. Trotzdem habe ich mich schonmal an der Behebung des Problems versucht, leider nur mit mäßigem Erfolg.…..

Hier ein Ablauf des Geschehens:

1. Windows Sicherheitsmeldung "Computer ist gefährdet", ausgelöst durch Viren-/Trojanerbefall, einen der Namen habe ich mir gemerkt: hiddenext/crypted

2. PC Absturz, Neustart, verschiedene Programme (Antivir, Search&Destroy, CCleaner) laufen gelassen, kein Fund bzw. manuell abgebrochen nach endlos langer Laufzeit, Sicherheitswarnung weiterhin, Google leitet auf unerwünschte Seiten weiter

3. Versuch den PC auf einem früheren Windows-Aufsetzpunkt wieder aufzusetzten, Ergebnis: einige exe-Dateien (u.a. Virenscanner) funktionierten nicht mehr (Fehlermeldung: Problem mit rundll32.exe), dafür aber auch keine Sicherheitswarnung mehr

4. Rücksicherung des Laufwerks C von externer Festplatte mit Acronis, Ergebnis: exe-Dateien funktionieren wieder , Scannen mit Virenscanner (Antivir, Malwarebytes) meldet Befall von Trojanern --> in Quarantäne verschoben, neuer Suchlauf ergibt keinen Befall mehr

Problem 1: Google leitet teilweise immer noch auf unerwünschte Seiten weiter, heute z.B. sehr gerne auf gemeo.de

Problem 2: neuer Scann mit Virenscanner meldet wieder Befall von Trojanern, obwohl zwischenzeitlich das System sauber war....?!

Ich frage mich jetzt, ob mein PC nun nach den letzten Virensuchlauf sauber ist, oder ob sich doch noch irgendwo Viren-/Trojaner o.ä. verstecken?!

So, langes Gschichte, jetzt werden aber die Aufgaben aus den Forenregeln abgearbeitet.

Hier das Ergebnis von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6458

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2011 18:27:52
mbam-log-2011-04-27 (18-27-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152425
Laufzeit: 9 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.FakeMS.VGen) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\recycle.bin.exe (Trojan.FakeMS.VGen) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Insgesamt habe ich noch mehr Trojaner in der Malwarebytes-Quarantäne aus früheren Suchläufen. Bei Bedarf kann ich die auch noch auflisten. Ganz am Anfang hat übrigens die ganze Misere mal mit hiddenext/crypted angefangen....

Vielen Dank für eure Hilfe!
Viele liebe Grüße,
VeeBee

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Lieber Arne,

vielen vielen Dank, dass Du mir im Kampf mit den Trojaner hilfst!
Also, hier ist das Ergebnis des Malwarebytes Komplett-Scanns von gestern Nacht:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6467

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.04.2011 00:28:06
mbam-log-2011-04-29 (00-28-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 305110
Laufzeit: 1 Stunde(n), 23 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Nachdem mein PC kurz vor Ostern nur noch rumgezickt hat und ich eine Rücksicherung von der externene Festplatte gemacht habe, habe ich mehrfach Malwarebytes ausgeführt. Ich poste hier nur die Suchläufe, bei denen Schädlinge gefunden wurden (die ältesten zuerst):

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6427

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.04.2011 22:40:52
mbam-log-2011-04-23 (22-40-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158897
Laufzeit: 7 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6450

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2011 22:48:07
mbam-log-2011-04-26 (22-48-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152054
Laufzeit: 8 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6450

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2011 22:48:07
mbam-log-2011-04-26 (22-48-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152054
Laufzeit: 8 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6450

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2011 07:14:25
mbam-log-2011-04-27 (07-14-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 299295
Laufzeit: 1 Stunde(n), 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\software_ablage\Software\nero 8.1.1.0b\keygen(embrace)\nero8x.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6458

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2011 18:27:52
mbam-log-2011-04-27 (18-27-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152425
Laufzeit: 9 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.FakeMS.VGen) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\recycle.bin.exe (Trojan.FakeMS.VGen) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Also, mein Malwarebytes Quarantäne-Ordner ist also ziemlich voll...!

So, und das Ergebnis von OTL findest Du in Anhang.
Ich hoffe, da ist noch was zu retten?!

Vielen Dank für Deine Hilfe und viele liebe Grüße,
VeeBee

Zitat:

d:\software_ablage\Software\nero 8.1.1.0b\keygen(embrace)\nero8x.exe

Tja wer crackt verliert nunmal

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Lieber Arne,

oh, mir war gar nicht bewusst, dass ich gecrackte Software auf meinem Rechner habe. Die Betreuung meines PCs lag nämlich bisher in der Hand meines Freundes, nur leider ist es jetzt mit der Freundschaft nicht mehr weit her, weshalb ich mich alleine durch den PC-Dschungel schlage. Ich hoffe, die Trojaner sind kein "Geschenk" von ihm gewesen....?!

Also, so wie ich das verstehe, ist das Programm Nero gecrackt. Da ich sowieso nichts brenne, sondern meine Daten auf USB-Stick und externer Festplatte sichere (geht einfach viel schneller), habe ich Nero jetzt gelöscht. Kannst Du mir denn jetzt wieder weiter helfen, bitte?

Viele liebe Grüße,
Verena

Sry aber bei gecrackter Software hör ich immer die besten Ausreden. Hier gibt es keinen Support wenn illegale Software im Spiel ist.

Folge bitte dem Link zur nachträglichen Sicherung der Daten über Ubuntu (2. Link in meiner Signatur) und dann dem zur Neuinstallation von Windows.

Selbstverständlich helfe ich dabei noch weiter wenn du Schwierigkeiten oder Fragen hast, aber bereinigt wird jetzt nicht mehr obendrein kommt bei gecrackter Software oft übelste Malware mit ins System, die sich nur zuverlässig durch format c: entfernen lässt. Du bist also eh besser beraten wenn du die komplett Neuinstallation durchführst.

Lieber Arne,

Ok, eine Neuinstallation erscheint mir jetzt auch das Beste. Und wenn ich jetzt schon meine Beziehung bereinigt habe, kann ich das gleiche auch noch mit meinem PC machen *Allen Mist rauswerfen!!!*

Ich habe mir die Informationen in Deinen Links angesehen und ich denke, den ersten Schritt mit der Notfall-Live-CD bekomme ich hin. Allerdings muss ich erstmal einen sauberen PC finden. Woran erkenne ich denn eigentlich, ob ein System sauber ist...?!

Einige Fragen habe ich noch zu meinem PC und dem weiteren Vorgehen:

1. Ich habe meinen PC 2004 bei Aldi gekauft, ist also von Medion. Leider war keine Windows CD dabei, sondern nur eine "Product Recovery CD". Die ist noch eingeschweißt und auf der Hülle steht "Microsoft Windows XP Home Edition". Reicht das für eine Neuinstallation aus? Meine Festplatte ist unterteilt in die Laufwerke C, D und E. Laufwerk E heißt Recover. Wahrscheinlich müsste ich dieses Laufwerk irgendwie bei Neuinstallation mit nutzen, oder?!

2. Bei der Neuinstallation mache ich C komplett platt. Laufwerk E würde ich behalten wegen "Recovery", falls das geht?! Bei Laufwerk D bin ich mir nicht sicher was damit ist. Auf D sind Bilder und noch ein paar private Sachen drauf, die ich sowieso auf meinem USB-Stick gesichert habe (alles nur nicht ausführbare Dateien wie Bilder usw.). Daneben sind auf D auch einige Programme drauf, die weg können, weil ich sie eh nicht benutze. Aber was ist mit den Ordnern "Treiber" und "Tools"? Die Daten darin sind alle von 2004. Mir kommt es so vor, als ob sie schon beim Kauf dabei gewesen sind! Also lieber sichern (obwohl da auch ausführbare Dateien dabei sind)?! Oder kann ich nur C komplett löschen und D und E bleiben bestehen?! Oder muss ich E und Teile von D auch sichern, weil die komplette Festplatte bei der Neuinstallation platt gemacht wird?! *Oh Mann, ich hab echt keine Ahnung von Festpatten!!!*

Hab vielen Dank für Deine Hilfe und Deine Geduld!

Viele liebe Grüße,
Verena

Zitat:

den ersten Schritt mit der Notfall-Live-CD bekomme ich hin. Allerdings muss ich erstmal einen sauberen PC finden. Woran erkenne ich denn eigentlich, ob ein System sauber ist...?!

Im Notfall kannst du auch mit deinem jetzigen Rechner unter dem verseuchten Windows die Ubuntu-CD brennen. Ist zwar nicht konsequent bis zum Schluss, aber Windows-Schädlinge brennen sich nicht mit auf eine Ubuntu-CD und wären wenn sie da wären eh wirkungslos in der Linuxplattform, da Linux ein völlig anderes OS ist.

Im Prinzip bist du mit Ubuntu allein schon bestens beraten, es sei denn du musst unbedingt Programme oder Spiele nutzen, die nur unter Windows laufen...

Zitat:

Reicht das für eine Neuinstallation aus? Meine Festplatte ist unterteilt in die Laufwerke C, D und E. Laufwerk E heißt Recover. Wahrscheinlich müsste ich dieses Laufwerk irgendwie bei Neuinstallation mit nutzen, oder?!

Sei froh, dass du Recovery-Discs hast. Damit kannst du den Rechner wieder so zurücksetzen, wie er beim ersten Anschalten war. Näheres im Handbuch.
Mach dann konsequent alles platt, Daten hast du vorher gesichert, die Recoverypartition benötigst du nicht. Sofern die Recoverymedien das unterstützen, meist kann man nur sagen recovern und hat dann keinen Einfluss auf das Partitionsschema. Vllt wäre es daher vorher besser, wenn du mit der Ubuntu-CD nach dem Sichern der Daten über System => Systemverwaltung => GParted ein Partitionierer startest und dort alle Partitionen der internen Platte löschst. Danach musst du den Vorgang noch übernehmen.
(Vorher die externe Platte am besten abklemmen!! rechtsklick auf das Plattensybol auf dem Desktop => Datenträger sicher entfernen, damit du nicht versehentlich die falsche Partition löscht!)

Zitat:

Auf D sind Bilder und noch ein paar private Sachen drauf, die ich sowieso auf meinem USB-Stick gesichert habe (alles nur nicht ausführbare Dateien wie Bilder usw.). Daneben sind auf D auch einige Programme drauf, die weg können, weil ich sie eh nicht benutze.

Das wichtige musst du natürlich VORHER alles sichern, Programme und andere ausführbare Dateien darfst du garnicht mehr sichern bzw. auf das frische System übertragen!
Da deine Recovery-CD schon ziemlich alt ist, solltest du auch unbedingt das SP3 und den IE8 offline einspielen und erst ins Internet gehen, wenn diese installiert sind! WindowsXP ist sonst extrem anfällig.

Oder wie gesagt, du lässt Windows sein und installierst nur Ubuntu

Lieber Arne,

vielen Dank für Deine Tips.
Also, ich werde jetzt
1. die Notfall-Live-CD erstellen.
2. meine Daten sichern bzw. überprüfen, ob ich alles wichtige gesichert habe.
3. meine Laufwerke komplett platt machen und Ubuntu installieren.
--> Ich habe mich gestern über Ubuntu informiert. Das hört sich alles gut an und die Idee dahinter finde ich Klasse. Auf Windows kann ich dann gut verzichten!
So, wenn ich die o.g. Punkte abgearbeitet habe, melde ich mich wieder. Dann bräuchte ich nämlich Unterstützung bei der Programmauswahl, d.h. Welchen Virenscanner nehme ich? Welches Mailprogramm? Gibt's sowas ähnliches wie Word und Excel? usw.

Viele liebe Grüße,
Verena

Zitat:

Dann bräuchte ich nämlich Unterstützung bei der Programmauswahl, d.h. Welchen Virenscanner nehme ich? Welches Mailprogramm? Gibt's sowas ähnliches wie Word und Excel? usw.

Virenscanner sind unter Windows schon keine wirkliche Notwendigkeit, unter linuxbasierten Betriebssystemen schon gar nicht!

Als Mailprogramm kommt bei Ubuntu normalerweise Evolution zum Einsatz. Das wird aber nur standardmäßig mitinstalliert, du kannst aber jederzeit auch was anderes installieren, zB Mozilla Thunderbird.

Als Officepaket kommt im neuen Ubuntu Natty Narwhal 11.04 LibreOffice zum Einsatz, davor war es OpenOffice. Die beiden Pakete sind aber fast identisch.