rootkit Trojaner FakeAlert!grb auf Windows XP Notebook
 

Hallo miteinander

Heute hat sich bei mir während der Internetnutzung auf dem Notebook die Fehlermeldung gezeigt dass die Festplatte beschädigt sei und ich das System neustarten soll. Zeitgleich meldete mein McAfee die Virusmeldung FakeAlert!grb Ich habe den Neustart nicht gemacht sondern habe gleich angefangen einen Festplattencheck zu laufen. Kurz darauf hat sich das System allerdings von selbst neu gestartet.

Nach dem Hochfahren hatte ich keinen Zugriff mehr auf das Systemlaufwerk und die installierten Programme. Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz. Habe dies gemacht und kann nun meine Dateien alle wieder sehen. Da aber die Fehlermeldungen alle bleiben läuft nun mein McAfee auf hochtouren. Glaube aber nicht dass er den Trojaner komplett deinstallieren kann.

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

NB: Ich schreibe von einem Zweitrechner. Habe den infizierten vom Netz getrennt.

Danke für eure Hilfe

West79

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: Fragen beantworten
Zuerst kommen wir zu deinen Fragen:
Ob eine Neuinstallation notwendig ist, kann ich dir erst sagen, wenn ich einen Blick auf dein System geworfen habe bzw. die Bereinigung nicht gelingt.


Bitte beantworte mir folgende Fragen:
Sprichst du hier vom Tool unhide.exe?

Gibt es derzeit noch andere Probleme?





Schritt # 2: rKill verwenden
Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

• rKill.com
• rKill.scr
• rKill.exe

und speichere die Datei auf dem Desktop.

• Deaktiviere deine Anti- Viren- Software.
• Starte das Tool mit Doppelklick
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
• Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen, dass es läuft.
• Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.





Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 5: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 6: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von MBAM,
• das Logfile von Defogger,
• das Logfile von GMER und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B

Besten Dank für dein Angebot zu Hilfe. :dankeschoen:

Antwort auf Schritt #1:

Nein. Ich habe den folgenden Eintrag im Trojaner-Board gefunden um unsichtbare Dateien sichtbar zu machen.
http://www.trojaner-board.de/59624-a...tml#post369557

Soll ich dennoch unhide.exe runterladen und ausführen?

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.
- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Nochmals vielen Dank für deine Hilfe :singsing:

Gruss
West79

Hallo West79,




Ja, führe aber zuerst rkill und Malwarebytes' Anti-Malware aus (wie in meiner letzten Antwort beschrieben). Anschließend mache bitte folgendes:


Downloade dir bitte unhide.exe (by Grinler) und speichere die Datei auf deinem Desktop.

• Schließe alle laufenden Programme.
• Starte die unhide.exe.
• Das Tool kann eine Weile brauchen.
• Wenn das Tool seine Arbeit getan hat, wird eine Nachricht aufpoppen "Your files should now be visible"
• Starte den Rechner neu auf.

Anschließend kannst du mit Defogger, GMER und OTL weiter machen. :)


Du beschreibst Symptome, die typische für diese Art von Malware sind.


Dieses "Fix-Programm", wie du es nennst, ist der Trojaner selbst. Auf keinen Fall starten. Mit rkill und MBAM solltest du es aber in die Schranken weisen können.


Ich warte auf deine Rückmeldung. :)
Poste alle geforderten Logfiles, sobald es die Zeit zulässt. Erst dann können wir mit der Bereinigung fortfahren. :daumenhoc

Hallo M-K-D-B

Ich konnte praktisch mühelos alle geforderten Schritte durchgehen. Hier folgen Meine Bemerkungen und die Logfiles.

Schritt #1: Die Fragen haben wir bereits besprochen.

Schritt #2: rKill hat funktioniert. Hatte danach wieder Schreibrecht auf dem Desktop.

Schritt #3: MBAM ist durchgelaufen. Hier das logfile.

Schritt #3.5: unhide.exe hat super Arbeit geleistet. Der volle Desktop war wieder hergestellt.:applaus:

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen? Im Logfile steht nur das:

Schritt #5: Gmer ist gelaufen und hat den halben Sonntagnachmittag gebraucht. Das log passt hier nicht rein; ist drum geteilt in zwei txt-files im Anhang:


Schritt #6: Auch OTL lief blendend. Das OTL.txt ist ebenso riesig und ist im Anhang un zwei Files unterteilt. Das Extra.txt ebenso im Anhang.



Ich hoffe all dies hilft uns weiter. Was denkst du? Oder sollte ich besser :killpc:?

Schöner Gruss
West79

Hallo West79,





Schritt # 1: Beantwortung deiner Fragen
Nein, das mit Defogger lief so, wie es sollte. Alles in Ordnung. :)


Ja, es hilft uns weiter.


Nein. Sowas kommt nur in Frage, wenn alles andere scheitert.
Bislang läufts ja ganz gut. :)


Zu deiner eigenen Sicherheit bitte ich dich, bis auf weiteres, kein Online-Banking oder andere Online-Geschäfte an diesem Computer abzuwicklen, bis wir die Bereinigung abgeschlossen haben.





Schritt # 2: Systemdateien verstecken
Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Versteckte Dateien und Ordner ausblenden

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 3: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software
• Suche in der Liste Software mit dem folgenden Namen
  • Ask Toolbar
  • Conduit Engine
  • softonic-de3 Toolbar
  • NCH Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 6: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point:
  
  Zitat:

  "LiveReg" = LiveReg (Symantec Corporation) "LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation) DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

  Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
  Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.
• Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast:
  
  Zitat:

  Drive C: | 50.91 Gb Total Space | 5.02 Gb Free Space | 9.87% Space Free | Partition Type: NTFS

  Besitzt du eine externe Festplatte?
• Wie läuft dein Rechner derzeit?
• Gibt es irgendwelche Auffälligkeiten?
• Was ist das genau für ein Backup?
  
  Zitat:

  C:\RRbackups

  Wozu dient es?
• Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?
• Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der geforderten Deinstallationen,
• das Logfile des TDSS Killers,
• das Logfile von ComboFix und
• die Beantwortung der gestellten Fragen.

Schritt #2 und #3 verliefen ohne Probleme. Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers... :confused:

Wie sollen wir weiterfahren?

Beantwortung deiner Fragen:
Ich verwende McAfee als Virenscanner. Norton war vom Hersteller vorgeschlagen und vorinstalliert als Demoversion. Hätte eigentlich vollständig deinstalliert sein sollen, aber offenbar nicht...

Ja, aber eigentlich nur zur Datenverwahrung. Alle aktiven Projekte und Programme laufen auf dem Notebook. Zugegeben, momentan ist die Platte ganz schön voll, aber es ist viel Mist drauf den ich baldmöglichst wieder entfernen werde.

Eigentlich ganz gut.

Nein, abgesehen vom älteren Baujahr läuft er ganz in Ordnung.

War eine Backup-solution des Herstellers. Habe diese nie entfernt, aber auch nie verwendet. Für Backupzwecke habe ich die externe Harddisk manuel verwendet.

Ja, habe eine normale Windows XP installations CD.

Nein, nichts dergleichen.

Hallo West79,



vielen Dank für die ausführliche Rückmeldung. :)


Wahrscheinlich blockiert ein Rootkit das Tool.


Wir machen wie folgt weiter:




Schritt # 1: FixTDSS ausführen
Downloade dir bitte FixTDSS.exe und speichere die Datei am Desktop.

• Beende alle laufenden Programme und schließe alle offenen Fenster.
• Starte die FixTDSS.exe.
  Windows Vista und 7 Nutzer mit Rechtsklick "Als Administrator ausführen"
• Akzeptiere die Nutzungsbedingungen.
• Klicke anschließend auf Proceed und bestätige mit Ok.
• Das Tool wird deinen Rechner neu starten.
• Gegebenenfalls musst du die Ausführung von FixTDSS.exe nochmals erlauben.
• Anschließend wird das Tool automatisch den Suchlauf starten.
• Nach Ende des Suchlaufs erscheint ein kleines Fenster von FixTDSS mit einer Nachricht.
  Poste diese mit deiner nächsten Antwort.
• Starte deinen Rechner zum Abschluss neu auf.

Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Nachricht von FixTDSS und
• das Logfile von ComboFix.

Besten dank für die Tipps. Hier die gewünschten Rückmeldungen.

Schritt 1: FixTDSS

Funktionierte ganz gut. Die Meldung nach beenden des Scans lautete:


Schritt 2: ComboFix

Ebenso keine Probleme beim durchlaufen. Ich glaube hier ist einiges gelaufen. Anbei das log:


Schöner Gruss
West79

Hallo West79,



Du hast wahrscheinlich ein Rootkit im Master Boot Sektor. Halte bitte deine Windows XP CD bereit. Eventuell benötigen wir diese bald!





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\kernel32.dll

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Nichts und danach den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• den Link zum Ergebnis von VirusTotal,
• das Logfile von OTL (OTL.txt) und
• das Logfile von aswMBR.

rootkit Trojaner FakeAlert!grb auf Windows XP Notebook
 

Schritt 1: Beantwortung der gestellten Fragen

Han über Google im Firefox und im Internet Explorer verschiedene Begriffe gesucht. Hat jedesmal richtig funktioniert und der Link führte auf die völlig korrekte Homepages.


Schritt 2: VirusTotal

Hab die gefragte Datei kernel32.dll mit VirusTotal untersuchen lassen. In der Tat musste ich Reanalyze klicken als die von dir genannte Message aufpoppte. Hier folgt der Link. Scheint so als ob keiner der Virenscanner was gefunden hatte.

VirusTotal - Free Online Virus, Malware and URL Scanner


Schritt 3: OTL

Ist auch gut gelaufen. Hier der Inhalt von OTL.txt

OTL Logfile:
--- --- ---



Schritt 4: aswMBR

Funktionierte super. Hier das log.


Gruss
West79

...komischerweise hat es mir den Link zu Schritt 2 im vorhergehenden post nicht akzeptiert. Hier ist nochmals der link zum Resultat von VirusTotal:

VirusTotal - Free Online Virus, Malware and URL Scanner

Gruss
West79

Again... Hoffentlich nicht wieder als hxxp...

VirusTotal - Free Online Virus, Malware and URL Scanner

Hallo West79,



Lösche die vorhandene tdsskiller.exe von deinem Desktop, bevor du Schritt # 3 durchführst!




Schritt # 1: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
• Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 2: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Trenne dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter, besonders den deiner Anti-Viren Software.
• Schließe alle offenen Programme.
• Starte die RKUnhookerLE.exe
  Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
• Klicke rechts auf Report und anschließend auf den Scan Button.
• Setze ein Häkchen vor
  • Drivers
  • Stealth Code
  • Code Hooks
• Entferne alle anderen Haken.
• Bestätige mit Ok.
• Wenn Du gefragt wirst, welcher Bereich gescannt werden soll, gehe sicher das dein Systemlaufwerk ( meistens C: ) angehakt ist. Deaktiviere alle anderen Laufwerke. Bestätige wieder mit Ok.
• Das Tool scannt nun deinen Rechner. Hab Geduld.
• Wenn der Scan beendet ist, klicke auf File -> Save Report
• Speichere die Datei als RKU.txt auf deinem Desktop.
• Klicke auf Close und bestätige mit Ja.
• Poste das Logfile mit deiner nächsten Antwort.

Hinweis: Solltest Du folgende Warnung bekommen
Klicke auf OK





Schritt # 3: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBRCheck,
• das Logfile von RKU und
• das Logfile des TDSS Killers.

Guten Morgen

Hat alles soweit funktioniert. Hier mein Rückmeldungen:

Schritt 1: Scan mit MBRCheck

Was wirklich ein schneller scan. Hier das log.


Schritt 2: Rootkitscan mit Rootkit Unhooker (RKU).

Ging eigentlich auch ganz flott. Eine Warnung ist keine aufgepoppt. Hier das log:


Schritt 3: TDSS Killer ausführen

Der Killer ist diesmal angelaufen und hat so wie ich das sehe ganze Arbeit geleistet. Anbei das log:

Gruss
West79 :kaffee:

Hallo West79,



Ach sie an, da ist ja das Rootkit, das ich vermutet habe. :kloppen:





Schritt # 1: Norton Removal Tool

• Downloade dir Norton_Removal-Tool.exe auf deinen Desktop.
• Starte das Programm.
  Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator ausführen
• Folge den Anweisungen auf dem Bildschirm.
• Starte deinen Computer nach der Bereinigung neu auf.

Schritt # 2: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 3: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von aswMBR und
• die beiden neuen Logfiles von OTL.

Hallo

Schritt 1 - 3 liefen ohne weitere Probleme.

Hier das log von aswMBR
Hier das OTL.txt
Hier das Extras.txt
Gruss
West79

Hallo West79,



Warum hast du McAfee deinstalliert? :wtf:

Ein Virenscanner sollte auf jedem Rechner sein. Solltest du nach einem suchen, kann ich dir einen der beiden folgenden empfehlen:





Schritt # 1: Fehlende Anti-Viren Software
Ich sehe in den Logfiles keine laufende Anti Viren Software.

Das ist gefährlich. Manchmal bemerkt man Malware durch PopUps oder Google-Umleitungen etc, aber meisten läuft diese unbemerkt im Hintergrund.
Ein AVP kann Dir helfen, Malware zu finden. Bitte downloade und Installiere Dir eines der folgenden AVPs.

• Avast
• Microsoft Security Essentials

Schritt # 2: ZoneAlarm Removal Tool
Downloade dir clean.exe auf deinen Desktop.

• Starte die clean.exe
  Benutzer von Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
• Folge den Anweisungen.
• Starte deinen Rechner am Ende der Bereinigung neu auf.

Schritt # 3: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung für welches AV-Programm du dich entschieden hast,
• das Logfile des OTL-Fix und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B

Hier die Rückmeldungen.

Schritt 1:
Du hast richtig festgestellt dass ich den McAfee am 11.7.2011 deinstalliert habe. Ich war gerade am durcharbeiten deiner vorgeschlagenen Schritte vom 11.07.2011 20:02 und wollte den ComboFix starten. Du meintest ja noch

Ich habe den McAfee auch so gut als es ging deaktiviert. Trotzdem kam nach dem Aufstarten des ComboFix ein popup mit einem schrillen Ton der mich warnte das der McAfee im Hintergrung noch immer aktive Wächter hat. Es sei in meiner eigenen Verantwortung falls ich fortsetzen wollte.

Habe daraufhin den McAfee deinstalliert um sicher zu sein dass mir das Antivirusprogramm keine Probleme macht. Bin nicht am Internet mit dem Laptop sondern poste und downloade die Files mit einem Zweitrechner am Netz.

Ich habe noch immer die Lizenz und die Software für den McAfee. Ich schlage vor dass ich diesen wieder einrichte, sobald wir diesen Tread beenden konnten.

Schritt 2:
Gemacht.

Schritt 3:
OTL fix ist durchgelaufen. Hier ist das log des OTL-fix.
Schritt 4:
OTL scan ist durchgelaufen. Hier das OTL.txt.
OTL Logfile:
--- --- ---


Hier das Extras.txt
OTL Logfile:
--- --- ---


Schöner Gruss
West79

Hallo West79,




Danke für die Rückmeldung.


Du willst erst wieder mit dem Rechner ins Internet gehen, wenn wir die Bereinigung abgeschlossen haben? :)





Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des TDSS Killers und
• das Logfile von MBAM.

Hallo M-K-D-B

Naja, dachte das wäre das beste. :pfeiff:
Doch wenn du es mir rätst, kann ich McAfee auch jetzt installieren.

Melde mich mit den logs später.

Gruss
West79

Hallo abermals

Sieht glaub sehr gut aus. Beide tools haben nichts gefunden.

Hier das log des TDSkillers
Hier das log des Mbam
Haben wir dem Trojaner den Gar ausgemacht? :Boogie:

Gruss
West79

Hallo West 79,




Laut den geposteten Logfiles sieht das so aus. :)
Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme nach der Durchführung der hier aufgelisteten Schritte?


Es ist nie verkehrt, lieber auf Nummer sicher zu gehen. :)


Sei so nett und installiere bitte McAfee wieder. Anschließend gibts noch ein paar Updates und Kontrollscans.

Sollten die dann sauber sein, entfernen wir zum Abschluss alle verwendeten Tools und ich gebe dir noch ein paar Tipps mit auf den Weg.


So gehts weiter:





Schritt # 1: Java deinstallieren/neu installieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Software
• Deinstalliere bitte Java(TM) 6 Update 23
• Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
• Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 2: Wichtige Updates

• Deinstalliere bitte deine aktuelle Version von Adobe Reader:
  Start --> Systemsteuerung --> Software --> Adobe Reader
  und lade dir die neue Version von Hier herunter.
• Entferne den Hacken für den McAfee SecurityScan.

Schritt # 3: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Poste nun den Inhalt der log.txt.





Schritt # 4: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des ESET Online Scanners,
• das Logfile von SecurityCheck und
• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B

Danke für deine Antwort.

Sehr gut. Ich habe das Gefühl er fährt jetzt sogar schneller hoch :applaus:

Soweit konnte ich keine Probleme mehr feststellen.

Done


Schritt 1: Java deinstallieren/neu installieren

Done


Schritt 2: Wichtige Updates

Done


Schritt 3: ESET Online Scanner

Durchgelaufen. Hier ist das log

Schritt 4: Durchführung einer Sicherheitskontrolle

Durchgelaufen. Hier ist das log

Schöner Gruss
West79

Hallo West79,



Du hast nur noch knapp 10% freien Speicherplatz. Sofern du eine externe Festplatte besitzt, empfehle ich dir, ein paar Daten auszulagern.



Ich empfehle dir ein Update auf die aktuellste Version.






Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

• Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
  • IBM 32-bit Runtime Environment for Java 2, v1.4.2
• Führe gegebenenfalls einen Neustart deines Rechners durch.
• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

• Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
• Möchtest Du ESET denoch deinstallieren:
  Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
  
  Code:

  ---

  "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

  ---

• Drücke OK.

Schritt # 5: Adobe Flash Player aktualisieren

• Lade dir die neuste Version des Flash Players von Adobe für Firefox und den Internet Explorer herunter.
• Installiere die neuste Version auf deinem Computer.

Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code:

  ---

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

  ---

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks oder andere illegale Software!
• Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Hallo M-K-D-B

:dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen:

Vielen Dank für deine grosszügige Hilfe. :party:
Alle deine letzten Schritte haben gut funktioniert. Deine Tipps nehme ich zu Herzen und werde in Zukunft vorsichtiger sein.

Schöner Gruss
West79

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.