|
Plagegeister aller Art und deren Bekämpfung: Immer wieder Trojaner gefunden, u.a. hiddenext/cryptedWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.04.2011, 17:57 | #1 |
| Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Liebes Trojaner-Board, Für diejenigen, die es eilig haben und nicht so viel Text lesen wollen: weiter unten befindet sich das Ergebnis des Scans mit Malwarebytes Seit ein paar Tagen habe ich Probleme mit meinem PC. Es sieht nach einem Viren-/Trojanerbefall aus - ich bin da aber leider keine Fachfrau. Trotzdem habe ich mich schonmal an der Behebung des Problems versucht, leider nur mit mäßigem Erfolg.….. Hier ein Ablauf des Geschehens: 1. Windows Sicherheitsmeldung "Computer ist gefährdet", ausgelöst durch Viren-/Trojanerbefall, einen der Namen habe ich mir gemerkt: hiddenext/crypted 2. PC Absturz, Neustart, verschiedene Programme (Antivir, Search&Destroy, CCleaner) laufen gelassen, kein Fund bzw. manuell abgebrochen nach endlos langer Laufzeit, Sicherheitswarnung weiterhin, Google leitet auf unerwünschte Seiten weiter 3. Versuch den PC auf einem früheren Windows-Aufsetzpunkt wieder aufzusetzten, Ergebnis: einige exe-Dateien (u.a. Virenscanner) funktionierten nicht mehr (Fehlermeldung: Problem mit rundll32.exe), dafür aber auch keine Sicherheitswarnung mehr 4. Rücksicherung des Laufwerks C von externer Festplatte mit Acronis, Ergebnis: exe-Dateien funktionieren wieder , Scannen mit Virenscanner (Antivir, Malwarebytes) meldet Befall von Trojanern --> in Quarantäne verschoben, neuer Suchlauf ergibt keinen Befall mehr Problem 1: Google leitet teilweise immer noch auf unerwünschte Seiten weiter, heute z.B. sehr gerne auf gemeo.de Problem 2: neuer Scann mit Virenscanner meldet wieder Befall von Trojanern, obwohl zwischenzeitlich das System sauber war....?! Ich frage mich jetzt, ob mein PC nun nach den letzten Virensuchlauf sauber ist, oder ob sich doch noch irgendwo Viren-/Trojaner o.ä. verstecken?! So, langes Gschichte, jetzt werden aber die Aufgaben aus den Forenregeln abgearbeitet. Hier das Ergebnis von Malwarebytes: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6458 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.04.2011 18:27:52 mbam-log-2011-04-27 (18-27-52).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 152425 Laufzeit: 9 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.FakeMS.VGen) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\Recycle.Bin\recycle.bin.exe (Trojan.FakeMS.VGen) -> Quarantined and deleted successfully. c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Insgesamt habe ich noch mehr Trojaner in der Malwarebytes-Quarantäne aus früheren Suchläufen. Bei Bedarf kann ich die auch noch auflisten. Ganz am Anfang hat übrigens die ganze Misere mal mit hiddenext/crypted angefangen.... Vielen Dank für eure Hilfe! Viele liebe Grüße, VeeBee |
28.04.2011, 19:47 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Hallo und
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
29.04.2011, 20:40 | #3 |
| Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Lieber Arne,
__________________vielen vielen Dank, dass Du mir im Kampf mit den Trojaner hilfst! Also, hier ist das Ergebnis des Malwarebytes Komplett-Scanns von gestern Nacht: Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 6467 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.04.2011 00:28:06 mbam-log-2011-04-29 (00-28-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 305110 Laufzeit: 1 Stunde(n), 23 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Nachdem mein PC kurz vor Ostern nur noch rumgezickt hat und ich eine Rücksicherung von der externene Festplatte gemacht habe, habe ich mehrfach Malwarebytes ausgeführt. Ich poste hier nur die Suchläufe, bei denen Schädlinge gefunden wurden (die ältesten zuerst): Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 6427 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 23.04.2011 22:40:52 mbam-log-2011-04-23 (22-40-52).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 158897 Laufzeit: 7 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6450 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.04.2011 22:48:07 mbam-log-2011-04-26 (22-48-07).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 152054 Laufzeit: 8 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6450 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.04.2011 22:48:07 mbam-log-2011-04-26 (22-48-07).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 152054 Laufzeit: 8 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6450 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.04.2011 07:14:25 mbam-log-2011-04-27 (07-14-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 299295 Laufzeit: 1 Stunde(n), 38 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: d:\software_ablage\Software\nero 8.1.1.0b\keygen(embrace)\nero8x.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6458 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.04.2011 18:27:52 mbam-log-2011-04-27 (18-27-52).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 152425 Laufzeit: 9 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.FakeMS.VGen) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\Recycle.Bin\recycle.bin.exe (Trojan.FakeMS.VGen) -> Quarantined and deleted successfully. c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Also, mein Malwarebytes Quarantäne-Ordner ist also ziemlich voll...! So, und das Ergebnis von OTL findest Du in Anhang. Ich hoffe, da ist noch was zu retten?! Vielen Dank für Deine Hilfe und viele liebe Grüße, VeeBee |
30.04.2011, 01:16 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Immer wieder Trojaner gefunden, u.a. hiddenext/cryptedZitat:
Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!
__________________ Logfiles bitte immer in CODE-Tags posten |
30.04.2011, 05:23 | #5 |
| Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Lieber Arne, oh, mir war gar nicht bewusst, dass ich gecrackte Software auf meinem Rechner habe. Die Betreuung meines PCs lag nämlich bisher in der Hand meines Freundes, nur leider ist es jetzt mit der Freundschaft nicht mehr weit her, weshalb ich mich alleine durch den PC-Dschungel schlage. Ich hoffe, die Trojaner sind kein "Geschenk" von ihm gewesen....?! Also, so wie ich das verstehe, ist das Programm Nero gecrackt. Da ich sowieso nichts brenne, sondern meine Daten auf USB-Stick und externer Festplatte sichere (geht einfach viel schneller), habe ich Nero jetzt gelöscht. Kannst Du mir denn jetzt wieder weiter helfen, bitte? Viele liebe Grüße, Verena |
01.05.2011, 12:03 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Sry aber bei gecrackter Software hör ich immer die besten Ausreden. Hier gibt es keinen Support wenn illegale Software im Spiel ist. Folge bitte dem Link zur nachträglichen Sicherung der Daten über Ubuntu (2. Link in meiner Signatur) und dann dem zur Neuinstallation von Windows. Selbstverständlich helfe ich dabei noch weiter wenn du Schwierigkeiten oder Fragen hast, aber bereinigt wird jetzt nicht mehr obendrein kommt bei gecrackter Software oft übelste Malware mit ins System, die sich nur zuverlässig durch format c: entfernen lässt. Du bist also eh besser beraten wenn du die komplett Neuinstallation durchführst.
__________________ --> Immer wieder Trojaner gefunden, u.a. hiddenext/crypted |
01.05.2011, 14:24 | #7 |
| Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Lieber Arne, Ok, eine Neuinstallation erscheint mir jetzt auch das Beste. Und wenn ich jetzt schon meine Beziehung bereinigt habe, kann ich das gleiche auch noch mit meinem PC machen *Allen Mist rauswerfen!!!* Ich habe mir die Informationen in Deinen Links angesehen und ich denke, den ersten Schritt mit der Notfall-Live-CD bekomme ich hin. Allerdings muss ich erstmal einen sauberen PC finden. Woran erkenne ich denn eigentlich, ob ein System sauber ist...?! Einige Fragen habe ich noch zu meinem PC und dem weiteren Vorgehen: 1. Ich habe meinen PC 2004 bei Aldi gekauft, ist also von Medion. Leider war keine Windows CD dabei, sondern nur eine "Product Recovery CD". Die ist noch eingeschweißt und auf der Hülle steht "Microsoft Windows XP Home Edition". Reicht das für eine Neuinstallation aus? Meine Festplatte ist unterteilt in die Laufwerke C, D und E. Laufwerk E heißt Recover. Wahrscheinlich müsste ich dieses Laufwerk irgendwie bei Neuinstallation mit nutzen, oder?! 2. Bei der Neuinstallation mache ich C komplett platt. Laufwerk E würde ich behalten wegen "Recovery", falls das geht?! Bei Laufwerk D bin ich mir nicht sicher was damit ist. Auf D sind Bilder und noch ein paar private Sachen drauf, die ich sowieso auf meinem USB-Stick gesichert habe (alles nur nicht ausführbare Dateien wie Bilder usw.). Daneben sind auf D auch einige Programme drauf, die weg können, weil ich sie eh nicht benutze. Aber was ist mit den Ordnern "Treiber" und "Tools"? Die Daten darin sind alle von 2004. Mir kommt es so vor, als ob sie schon beim Kauf dabei gewesen sind! Also lieber sichern (obwohl da auch ausführbare Dateien dabei sind)?! Oder kann ich nur C komplett löschen und D und E bleiben bestehen?! Oder muss ich E und Teile von D auch sichern, weil die komplette Festplatte bei der Neuinstallation platt gemacht wird?! *Oh Mann, ich hab echt keine Ahnung von Festpatten!!!* Hab vielen Dank für Deine Hilfe und Deine Geduld! Viele liebe Grüße, Verena Geändert von VeeBee (01.05.2011 um 14:32 Uhr) |
01.05.2011, 15:12 | #8 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Immer wieder Trojaner gefunden, u.a. hiddenext/cryptedZitat:
Im Prinzip bist du mit Ubuntu allein schon bestens beraten, es sei denn du musst unbedingt Programme oder Spiele nutzen, die nur unter Windows laufen... Zitat:
Mach dann konsequent alles platt, Daten hast du vorher gesichert, die Recoverypartition benötigst du nicht. Sofern die Recoverymedien das unterstützen, meist kann man nur sagen recovern und hat dann keinen Einfluss auf das Partitionsschema. Vllt wäre es daher vorher besser, wenn du mit der Ubuntu-CD nach dem Sichern der Daten über System => Systemverwaltung => GParted ein Partitionierer startest und dort alle Partitionen der internen Platte löschst. Danach musst du den Vorgang noch übernehmen. (Vorher die externe Platte am besten abklemmen!! rechtsklick auf das Plattensybol auf dem Desktop => Datenträger sicher entfernen, damit du nicht versehentlich die falsche Partition löscht!) Zitat:
Da deine Recovery-CD schon ziemlich alt ist, solltest du auch unbedingt das SP3 und den IE8 offline einspielen und erst ins Internet gehen, wenn diese installiert sind! WindowsXP ist sonst extrem anfällig. Oder wie gesagt, du lässt Windows sein und installierst nur Ubuntu
__________________ Logfiles bitte immer in CODE-Tags posten |
02.05.2011, 05:32 | #9 |
| Immer wieder Trojaner gefunden, u.a. hiddenext/crypted Lieber Arne, vielen Dank für Deine Tips. Also, ich werde jetzt 1. die Notfall-Live-CD erstellen. 2. meine Daten sichern bzw. überprüfen, ob ich alles wichtige gesichert habe. 3. meine Laufwerke komplett platt machen und Ubuntu installieren. --> Ich habe mich gestern über Ubuntu informiert. Das hört sich alles gut an und die Idee dahinter finde ich Klasse. Auf Windows kann ich dann gut verzichten! So, wenn ich die o.g. Punkte abgearbeitet habe, melde ich mich wieder. Dann bräuchte ich nämlich Unterstützung bei der Programmauswahl, d.h. Welchen Virenscanner nehme ich? Welches Mailprogramm? Gibt's sowas ähnliches wie Word und Excel? usw. Viele liebe Grüße, Verena |
02.05.2011, 12:16 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Immer wieder Trojaner gefunden, u.a. hiddenext/cryptedZitat:
Als Mailprogramm kommt bei Ubuntu normalerweise Evolution zum Einsatz. Das wird aber nur standardmäßig mitinstalliert, du kannst aber jederzeit auch was anderes installieren, zB Mozilla Thunderbird. Als Officepaket kommt im neuen Ubuntu Natty Narwhal 11.04 LibreOffice zum Einsatz, davor war es OpenOffice. Die beiden Pakete sind aber fast identisch.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Immer wieder Trojaner gefunden, u.a. hiddenext/crypted |
ablauf, absturz, anfang, antivir, computer, dll, exe-dateien, explorer, fehlermeldung, festplatte, frage, google, kein fund, laufzeit, leitet, malwarebytes, microsoft, namen, neustart, programme, recycle.bin, rojaner gefunden, rundll, seiten, sicherheitsmeldung, sicherheitswarnung, software, system, trojaner, trojaner gefunden, trojaner-board, unerwünschte seiten, windows |