Verdacht auf Viren oder RootKits - Neuinstallation?
 

Hallo Liebes Trojaner Board Team,
Ich habe in der Vergangenheit bereits 2 mal um Hilfe gebeten ( https://www.trojaner-board.de/199884-com-surrogate-32bit.html Und https://www.trojaner-board.de/195385-name-verfuegbar-lautstaerkemixer.html) und habe in den letzten Jahren immer wieder den Eindruck gehabt, dass etwas nicht stimmt an meinem System. Beispielsweise habe ich vor kurzem mal als „Vorsorge“ den Microsoft Security Scanner laufen lassen, welcher eine, wohl durch einen Virus verursachte Veränderung der Windows Defender Einstellungen feststellte. Gleichzeitig fand ich dann in den Defender Einstellungen im Reiter Ausnahmen 3 exe Dateien mit sehr Kryptischen Namen, die wohl von der Untersuchung vom Windows Defender ausgeschlossen waren, Ich hatte diese dort allerdings nicht hinzugefügt. Als ich diese Einträge dann entfernte und den System32 Ordner, indem die 3 Datein lagen versuchte mit dem Windows Defender zu scannen, wurde der Bildschirm Schwarz, ging nach einer weile wieder an, doch dann war der Scan abgebrochen und weitere Scans hingen immer bei 0% Fortschritt fest. Dazu kommen merkwürdige Vorfälle aus den andern beiden Themen, wegen denen ich bereits um Hilfe gebeten hatte.
Ebenfalls habe ich mich etwas über RootKits und GootKit informiert und festgestellt, dass diese sehr schwer zu beheben und sehr sehr Gefährlich sein können und sich teilweise sogar im BIOS festsetzen. Ich habe GMER laufen lassen, was einiges gefunden hat, ich weiss allerdings nicht , inwiefern das Fehlarme waren oder Nicht bzw. wie ich RootKits komplett entfernen kann. Meine Frage ist jetzt inwiefern ihr mir vielleicht bei der Bereinigung oder Analyse meines Systems helfen könnt oder ob eine Neuinstallation Sinnvoll wäre und wie ich meine Daten (Fotos, Word Dokumente, PowerPoint Dokumente etc.) von meinem, möglicher weise Infiziertem System sichern (sowie USB Sticks etc. bereinigen kann und die Daten sichern) ohne Gefahr zu laufen dadurch (auch tief sitzende) Schadware z.B in Form von MakroViren auf das Neu aufgesetzte System zu Übertragen. Außerdem erhalte ich viele Spam Mails, hauptsächlich Werbung und wollte Fragen wie ich mich vor potenziell gefährlichen Anhängen (Viren oder auch GootKit) schützen kann, falls man mal ausersehen auf die falsche Mail klickt.

Vielen Dank im Vorraus und einen schönen Abend

Ich weiß jetzt echt nicht was die Frage soll. Wenn du dich um derartige Schädlinge sorgst, dann wird dir eh keine Aussage/Analyse mit FRST weiterhelfen oder ausreichen. Und da du garantiert die Schädlinge weg haben willst, kannst du dich selbst nur mit einer Neuinstallation zufriedenstellen.

Was soll das mit GMER??? :wtf::balla: Das Teil wird schon seit Jahren nicht mehr benutzt!

Datensicherung: warum macht man nicht einfach regelmäßig eine Datensicherung? Muss denn immer erst irgendein Vorfall oder Verdacht eintreten, bis man sich um das regelmäßige Sichern seiner ach so wichtigen Daten mal beschäftigt? Jetzt bleibt dir nichts anderes übrig als das wichtigste zu sichern. Persönliche Dokumente, Bilder, Musik, Videos. KEINE Programme. KEINE Spiele. KEINE Setups von Programmen/Spielen!


Absicherungshinweise findest du im folgenden Lesestoff:

Hallo,
Ok, Danke für die Hilfe, dann werde ich wohl eine Neuinstallation durchführen.
Zur Datensicherung: Ja ich weiss selbst, dass das nicht so schlau war das nicht zu machen aber ändern kann ich es jetzt ja nichtmehr. Ich habe gelesen, dass ich persönliche Dateien am besten unter Linux oder so Auf einen frischen Stick ziehen sollte... Ist das Sinnvoll oder geht das auch auf dem normalen System.
Inwiefern ist es denn wahrscheinlich sich solche fiesen Sachen eingefangen zu haben?

Wäre es denn möglich den PC trotzdem einmal von euch durchchecken zu lasen?

Mit dem Ergebnis, dass du danach immer noch nicht zufrieden bist und weiterhin an einen Befall glaubst? Oder reichen dir saubere Logs von Malwarebytes und RK?

Also Mb und RK habe ich selbst schon benutzt und da kam nix raus. Also wenn das sozusagen eure Empfehlung ist dann hab ich das schon gemacht. Deswegen fragte ich ja auch wie wahrscheinlich es ist, sich sowas geholt zu haben, weil ich eben nur gesehen habe, dass es das theoretisch gibt und das gefährlich ist. Mehr aber auch nicht

Und wie sähe es mit der Datensicherung mit Linux oder so aus?
Ich will euch hier auch nich unnötig Arbeit machen, Ich würde nur gern wissen was ihr davon denkt und wie ich, falls ich mich für eine Neuinstallation entscheiden sollte, meine Word Sachen etc. Sicher rüber bekomme und wie ich meine. Sticks sicher und sauber mache damit da nix beim nächsten einstecken in das neue System die Neuaufsetzung zu Nichte macht.

Kannst du mal verraten woher du diese Panik hast. Sry aber ein wenig nervt es langsam. Du hast keine wirklichen Probleme, MBAM und RK finden nichts, aber aus Bauchgefühlen heraus machst du da nen Aufriss.....muss das sein?

Die Wahrscheinlichkeitsfrage ist auch total sinnfrei, sowas kann man nicht vernünftig beantworten weil sich das nicht mathematisch berechnen lässt.

Wenn du ein so schlechtes Gefühl hast dann sichere einfach alle Daten und installier neu. :kaffee:

Okay, wie gesagt ich will euch nich nerven, wenn ihr sagt das sieht alles gut aus, dann is das ja super!
Aber
WIE sichere ich die Daten am besten, das ist alles was ich wissen möchte. Ob ich das System neu aufsetzen möchte oder nicht und warum ist ja meine Sache...

Ja indem man die Datei von A nach B kopiert?:pfeiff:

A=Quelle, B=Externe Festplatte

Okay, also ist sowas wie mit Linux booten und dann rüber sinnlos? Ich möchte einfach gern ein sauberes System haben auch im Bezug auf freiwerdenden Speicher und das ganze eben so sicher wie möglich...

Du hast den Wink mit dem Zaunpfahl wohl immer noch nicht gemerkt. Klar kannst du die Dateien mit Linux rüberkopieren. Aber was bitte soll das?

Und was soll das? Noch mehr irrationale Panik?

Ja, dass dann wieder mehr Platz auf der platte ist wenn alles neu ist ??

Ich hab gelesen, dass das „tendenziell“ sicherer ist aber wenn das nix bringt is ja auch ok DESWEGEN frage ich ja nach !

und ich schätze einfach mal das eine Neuinstallation, wo dann alles mal sauber drauf ist und der ganze Jahre alte Müll nicht mehr, dem PC eher nicht schadet ?

Die Frage stellst doch nicht im Ernst? :stirn:

Das war eine rhetorische Frage mann

In deinem Fall kasnnst du einfach die Daten für die Datensicherung von deinem Sytem auf eine USB Festplatte oder einem USB Stick rüber kopieren, dann nimmst du die USB Festplatte oder den USB Stick weg vom PC und dann kannst du mit der Neuinstallation von Windows 10 anfangen und wenn das durch ist, die gesicherten Dateien wieder zurück kopieren. Und für die Zukunft: mach regerlmässig Datensicherungen sowie Systembackups bzw Festplattenbackups wenn du noch andere Partitionen neben C einrichtest auf eine externe USB Festplatte die nur zu Sicherungszwecken am Pc angeschlossen wird. Wenn du noch kein Backup Programm hast, nimm zum Beispiel das: https://www.deskmodder.de/blog/2020/11/20/aomei-backupper-pro-kostenlos-fuer-euch/

Okay Super ! Das ist alles was ich wissen wollte ....
Danke sehr

Wenn du ganz auf Nummer sicher gehen und dein Gewissen beruhigen willst, was aber überflüssig ist, dann scanne die gesicherten Dateien auf dem Sicherungsmedium nochmal mit 1 oder 2 OnDemand Viren Scanner deiner Wahl. Aber das ist eigentlich überflüssig.

Ich will jetzt kein riesiges Fass aufmachen, aber das stimmt nicht ganz
Hab ich auch beschrieben am Anfang und in den alten Themen.
Daher bin ich ja überhaupt erst mit Befürchtungen her gekommen

Ja, da wurde irgendwas gefunden, nun nichts mehr, was gefunden wurde hälst du nicht für nötig mitzuteilen. Sollen doch die Helfer in deinen alten Threads herumwühlen oder was soll das?

Also eine konkrete Problembeschreibung ist das nicht.

Dann hast du immer noch irgendwie Angst dass da ein Rootkit ist. Meine Fresse, dann installier doch einfach alles neu, so kommen wir eh nicht weiter.

Also, nochmal

In dem 2. der beiden vorherigen Posts (vor etwa 3 Monaten) ging es darum, dass der Windows Defender einige Dateien im Verzeichnis Temp im Ordner Windows gefunden hat die wohl „Befehle eines Angreifers ausführen“(Trojan:Script/Foretype.A!ml). Dort wurde von euch aber nichts gefunden, deshalb dachte ich mir dann nichts mehr dabei. Diese Dateien warben als ich heute nachgesehen habe allerdings Immernoch aber hatten eine Größe von 0kb und es wurde auch nichts vom Windows Defender oder anderen Tools gefunden. Ich habe sie dann einfach gelöscht. Jetzt habe ich eben den Microsoft Security Scanner vor ein Paar Tagen laufen lassen, welcher Veränderungen in den Einstellungen des Windows Defenders fand, welche wohl von einem Virus versuchst wurden (VirTool:Win32/DefenderTamperingReset) aus dem Registry Eintrag lässt sich erkennen, dass wohl das Modul AntiSpyware deaktiviert wurde. Gleichzeitig fand ich merkwürdige Ausnahmen im Defender, die dafür sorgten, dass 3 kryptische exe Dateien von der Überprüfung ausgeschlossen waren (die lagen im System32 Ordner, finden sich jedeoch über den Explorer nicht). Als ich die aus den Ausnahmen entfernt hatte und den Ordner scannen wollte wurde der Bildschirm Schwarz und weitere Scans hingen immer bei 0% fest. Ebenfalls war heute im überwachten Ordnerzugriff eine ebenfalls kryptische exe Datei, die auf /Device/HardDrive0/DR0 zugreifen wollte, was jedoch blockiert wurde. Außerdem sind im System 32 viele PNG Dateien die Namen wie @BackgroundAccesToastIcon haben. Wozu ich allerdings nichts im Internet indem konnte.
Daher bin ich dann nach eigener Recherche auf RootKits oder andere tiefersitzende Malware gestoßen und da bei den letzten malen ja alles sauber war oder schien, dachte ich ich frage nochmal nach.
Gerade eben habe ich das Tool TDSSKiller, was laut meinem Kentnissstand allerdings etwas veraltet ist, laufen lassen und es einige unsignierte Treiber gefunden hat. Sonst allerdings keine RootKits.

Ich hoffe ich konnte das Problen etwas genauer beschreiben und wünsche dir noch einen schönen Abend
LG

Edit: gerade hat windows eine potenziell unerwünschte App gefunden. PUA:Win32/CoinMiner (liegt unter C: Windows Temp ) konnte allerdings nicht ganz vom Defender entfernt werden
Gdata findet viele Dateien im Verzeichnis System Volume Information auf verschiedenen Laufwerken , die ähnlich kryptische Namen haben wie die vorhin angesprochenen Dateien, allerdings verweigern diese den Zugriff.

Doch, du machst ein Riesen Fass auf für nichts.

Wenn du (wie du selbst sagst) seit Jahren ein komisches Gefühl hast, warum fragst du dann überhaupt noch? Warum installierst du den Rechner nicht einfach mal neu?

Der ganze Thread ist doch für die Tonne. Was willst du hören? 100 % Sicherheit gibt es nicht. Und bei komischen Gefühlen: DVD rein, neu installieren.

Ich möchte doch nur wissen ob mir da noch geholfen werden kann oder nicht

Wobei brauchst du Hilfe? DVD einlegen? USB-Stick reinstecken?

Ernst gemeint. Du vertrödelst seit Jahren deine Zeit mit unsinnigen Gedanken und Fehlersuche.

Ne USB Stick schaff ich selber ;) Ich mein bei der Entfernung von Malware.

Ja gut wenn neu installieren das sinnvollste ist dann mach ich das. Kein Problem. Vorhin hörte sich das für mich allerdings nicht so an.

Das hörte sich die ganze Zeit so an. Du willst wohl was anderes hören.

Für dich gibt es nur eine ordentliche Option: Datensicherung, Windows 10 Neuinstallation und danach regelmässig Backups machen dir wichtiger Dateien und von Windows 10 das sich Systemsicherung nennt und besser aufpassen demnächst was du am PC so machst.

Ich hatte nur die Hoffnung, dass ich da einfach was falsch gemacht hab oder so und dass es den Aufwand Nicht braucht.
Ich versteh nich ganz warum das so schlimm ist, dass der normale „User“ kein Experte ist und nicht so viel Ahnung hat. Deswegen fragt man ja hier nach.
Aber ist jetzt auch egal. Ich werde die Kiste einfach neu aufsetzen, wenn nur das die 100% Sicherheit bietet.
Trotzdem Vielen Dank für eure Zeit und eure Hilfe

Ich bin auch kein Experte, eher ein normaler User der aber daran interessiert ist, das sein PC sauber bleibt und in deinem Fall ist es halt der sauberste Weg wenn du Windows 10 neu installierst denn das löschen der jetzigen Partitionen und das anschliessende formatieren der entstandenen Partition das man beides mit dem Windows 10 Installtionsmedium macht, das überlebt kein Virus, Trojaner oder Rootkit auf deiner Festplatte.

Das Problem ist, dass du egal was du machst, dir nichts ausreicht. Saubere Logfiles von MBAM und RK reichen dir nicht, dass der Rechner jetzt offensichtlich keine Probleme hat reicht dir nicht, du hast immer noch komische Bauchgefühle. Werden die denn verschwinden wenn du alles neu installierst?

Ich habe doch jetzt schon zum 2. Mal geschrieben, dass der Defender immerwieder einige Sachen findet.

Dann machst du etwas falsch bzw installierst etwas, das der Defender als schädlich einstuft. und zu den Funden in Temp Verzeichnen die du mal hattest: du weißt ja schon das Windows 10 eine Datenträgerbereinigung hat und wenn du auch Temp Files von Browsern, Programmen usw gelöscht haben willst, kannst du das mit zum Beispiel TFC Machen: http://filepony.de/download-tfc/

Und das komplett unkonkret! Das hab ich auch schon erwähnt, dass du einfach nur schreibst da wurde irgendwas gefunden anstatt einfach mal genau die Meldungen herauszukopieren!