TR/Spy.Web.H und windows-virus w32/Indus.A, schwarzer Bildschirm, scheinbar alle Dateien weg
 

Hallo zusammen!
Heute bekam ich eine E-Mail von eilservice@deutschepost.de. Da ich tatsächlich etwas erwartete, dachte ich nicht lange nach und öffnete den Anhang. Ganz blöde Idee.Im Anhang war eine Zip-Datei, mit enthaltender .exe. Kaum geöffnet meldete Avira einen Trojaner-Befall, den ich löschte. Der Trojaner hieß TR/Spy.Web.H und der Befall bezog sich auf: C: /Users/oem/AppData/Roaming/Microsoft/Protect/wgmom.c Dannach meldete sich dann die Malware unablässig zu Wort. Windows – „Delayed Write Failed. Failed to save all the components for the file /System32/000000390c. The file is corrupted or unreadable. This error may be caused by a PC hardware problem. Cancel, try again, continue” (immer andere Zahlenkombis am Ende)
Der Taskmanager ließ sich nicht mehr öffnen, sämtliche geöffnete Dateien wurden geschlossen und es erschien ständig die Meldung die RAM sei beschädigt und die Festplatte ebenfalls. Dann öffnete sich eine nach windows aussehende Datei, „Data Recovery“ und meldete Fehler,.Es gab 4 verschiedene Tests, einmal „my computer“, dann „system drive“, dann „RAM Memory“, dann „system registry“, dort standen so schöne sachen wie „ RAM Memory temperature is 83°C. Optimization is reuqired....“ und dann jeweils eine Einschätzung „failed to fix“ oder „succesfully fixed“. einige seien nicht zu beheben und man könne eine Vollversion kaufen um das System wieder herzustellen (oder so ähnlich). Ich führte einen Neustart im abgesichterten Modus durch, ließ Avira über einen USB-Stick laufen (über anderen PC neu heruntergeladen) und fand den windows-virus w32/Indus.A , der sich jetzt in Quarantäne befindet.
Der Bildschirmhintergrund ist in jedem Modus schwarz, sämtliche Ordner sind vom Desktop entschwunden, die Festplatten zeigen noch an, dass sich xyGB auf ihnen befindet, jedoch steht bei Doppelklick darauf nur da, dass die Datei keinen Ordner enthält. Alle Programme – wie zB Microsoft Office Anwendungen, Avira, etc. sind alle noch vorhanden und scheinbar auch benutzbar und lassen sich öffnen. Jedesmal wenn ich im nicht abgesciherten Modus starte erscheint das ganze noch mal (Data Recovery, ca. 30 Fehlermedlungen mit delayed write failed“.
Gibt es Hilfe? Wenn ja in welchem modus soll ich log-files etc. erstellen? Soll ich die Programme über einen anderen PC per USB dann benutzen oder ist es im Grunde egal?
Verzweifelte Grüße

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Ich habe zwei Vorschläge: :

1.
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.
Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

2.
3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
kira

Die Wiederherstellung hat funktioniert. Ich habe einen günstigen Wiederherstellungstag gefunden. Mein Desktophintergrund ist wieder normal. Über versteckte Ordner anzeigen habe ich alle meine Dateien wiedergefunden. Überall war ein Haken bei "verstecken", diesen habe ich entfernt. Im Anschluss habe ich die "exe-Datei", die den Trojaner enthielt, gelöscht.
Hier die OTL-txt-Datei:
hier die Extras-Datei:
Hier die Datei des CC-Cleaners:
Viele Dank schon mal!

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
Bestandteile der Standardinstallation vieler Freeware-Programme und teilweise sogar von kostenpflichtigen Programmen. Daher:
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
Bei Installation die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen, weil damit stimmt man nämlich zu, dass Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert.
in diese Kategorie gehören noch einige, wie z.B: -> Unerwünschte Toolbars deinstallieren

2.
ALTE VERSION!!!:
Die neue Version gibt es hier:
also lösche/deinstalliere HijackThis "2.0.2." und lade Dir erneut von hier TrendMicro™ HijackThis™/Version 2.0.4 herunter

3.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 27 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

4.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

5.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

7.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

1. Erster OTL Scan, Fixen mit OTL:
2. Malwarebytes Scan:
3. OTL Scan, zwei Logfiles:

4. SuperAntiSpyware logfile:

Ansonsten scheint alles zu funktionieren, nur kommt mir mein Laptop langsamer vor als vor dem Angriff... Welches Virenprogramm würdest du mir denn empfehlen? Antivir hat ja leider versagt :(

Vielen Dank für die Hilfe!!!

Gibt es sowas wie die beste Waffe? Nein, gibt es nicht! Da 100%ige Sicherheit gibt es leider nicht, man kann nur die Sicherheitsmassnahmen erheblich verstärken. Aber nicht mit jede Menge Schutzprogramme, sondern mit Vorsichtsmaßnahmen. Jede Welt hat ihre Regeln, so auch die virtuelle Welt des Internets, die Einhaltung der "Netiquette" wird da empfohlen!
Ausserdem hilft das alles nichts, wenn die heruntergeladene Datei oder Programm ursprunglich infiziert ist, es gibt kein Antivirenprogramm oder Sicherheitstool der Welt, das dir 100 % zentigen Schutz bietet bzw das Eindringen von Trojanern zu verhindern kann!:o
Hier die häufigsten Ursachen - Denk- und Anwendungsfehler im Umgang mit Computern:
Ungepatchte Windows und veraltete Software-Versionen verwenden
Öffnen eines infizierten E-Mail-Anhangs
Verseuchte USB-Geräte von ein Guter Freund nützen
auf "unsicheren" Seiten surfen (z.B Warez)
Filesharing-Netzwerk eMule & Co
Cracks & Keygens runterladen usw

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
2.
Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
Erstelle manuell einen Wiederherstellungspunkt: Aktivieren und Deaktivieren der Systemwiederherstellung

5.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

6.
Punkt 9. - fehlt noch:-> http://www.trojaner-board.de/103691-...tml#post705498

7.
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"