Anscheinend mit Trojaner von Facebook infiziert
 

Hallo liebes Trojaner-Board-Team,

nach vielen Jahren virenfreien Surfens hat es mich gestern erwischt: Ein Facebook-"Freund" schickte mir einen Link, auf den ich geklickt habe, in der Annahme, es sein ein Foto. Die Datei, die anschließend geladen wurde, hatte die Endung eines Bildschirmschoners. Bevor ich sie geöffnet habe, ließ ich AVIRA die Datei manuell überprüfen, doch es wurde nichts gefunden, so dass ich die Datei schließlich öffnete. Tja, es konnte dann leider kein Bild angezeigt werden.

Einige Minuten später schlug Avira Alarm. Kurz hintereinander wurden gefunden:

TR/Crypt.EPACK.Gen2
EXP/CVE-2010-4452.D
Win32/Unruy.H

Ich habe zwar jedesmal auf "Löschen" geklickt, aber anscheinend ging das Zeug nicht weg.
So ein Mist! Wozu hat man denn diese Antivirenprogramme???


Symptome:

Während ich jetzt hier dieses Forum durchstöberte, ist mein PC schon 2mal mit Bluescreen abgestürzt, und gerade kam die Avira-Meldung: "Zugriff auf die Datei \Device\HarddiskVolume1\Autorun.inf wurde blockiert". Was heißt das denn?

Außerdem hat sich gerade plötzlich die Bildschirmdarstellung verändert: Die kleinen Icons unten in der Startleiste sehen irgendwie schlichter / primitiver aus, und alle Fensterränder, die sonst halbtransparent sind, sind jetzt nicht mehr durchsichtig.

Dummerweise hab ich jetzt noch genau 1 Tag, um meine Steuererklärung auf dem PC zu machen, am 10.10. ist mein Abgabetermin. Wie soll ich das denn schaffen, wenn mein System nicht mehr stabil ist?


Was ich gerade unternommen habe:

1. Malwarebytes' Anti-Malware heruntergeladen und durchlaufen lassen, hat 28 infizierte Dateien gefunden (!). Log-File siehe unten.

2. Defogger heruntergeladen und gestartet.

3. OTL heruntergeladen und durchlaufen lassen (die Logfiles versuche ich gleich, hier anzufügen. Mal sehen, ob ich das schaffe).

4. GMER heruntergeladen und gestartet, stürzt aber jedesmal ab, kurz nachdem in der Statuszeile erscheint: "\Device\Harddisk\VolumeShadowCopy1".


So, bin fix und fertig. Was jetzt?

Schönen Dank schon mal an jeden, der sich meiner erbarmt und mir weiterhilft.


---------------------------------------------------------------------


Hier das Logfile von MBAM:



Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7902

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

08.10.2011 20:43:49
mbam-log-2011-10-08 (20-43-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 187402
Laufzeit: 9 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 28

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher (Backdoor.IRCBot) -> Value: Adobe Reader Speed Launcher -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SpywareTerminator (Backdoor.IRCBot) -> Value: SpywareTerminator -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched (Backdoor.IRCBot) -> Value: SunJavaUpdateSched -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QuickTime Task (Backdoor.IRCBot) -> Value: QuickTime Task -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\swg (Backdoor.IRCBot) -> Value: swg -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\program files\spyware terminator\spywareterminatorshield.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\program files\common files\Java\java update\jusched.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\program files\quicktime\QTTask.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\program files\Google\googletoolbarnotifier\googletoolbarnotifier.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\programdata\g0bl07OX.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\g0bl07ox.exe_ (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\EE64.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\3F.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup152207864.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup1825204252.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup2573413468.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup2915465244.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup3156182584.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\9B19.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\D3C3.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\D597.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\DAB5.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup3315757760.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup3878025976.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup881034076.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\AppData\Local\Temp\setup975314012.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\Temp\setA6E9.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\Temp\setB349.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\Temp\setB9A1.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\Temp\setBC60.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Windows\Temp\setE192.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Michael\Desktop\PCenter.lnk (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.

Sowas reicht nicht, bitte alle Logs von AntIVir nachreichen

Gut, hier sind drei Log-Dateien von AntiVir.

Falls es interessiert, ich habe inzwischen auch ESET laufen lassen (ohne zu reparieren, nur scannen), weil ich das hier im Forum schon des öfteren las; das Log-File hänge ich auch gleich hier dran.

Gruß,
Telemann

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

wie gewünscht habe ich gerade einen Vollscan mit malwarebytes gemacht, aber komischerweise wurde nichts gefunden! :confused:

Kommt mir sehr seltsam vor, denn gestern ist der PC mit Bluescreen abgestürzt, heute kam von AntiVir die Meldung, dass ein Virus gefunden wurde. Also ganz weg kann die Verseuchung wohl nicht sein oder?

Oder kann es vielleicht sein, dass die umfangreichen Windows-Updates, die mein PC seit gestern automatisch installiert, zur Bereinigung geführt haben???

Im Anhang die aktuellen Log-Dateien von AntiVir und malwarebytes (ältere habe ich nicht).

Gruß,
Telemann

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi, hier der log.txt von ESET, Scan-Durchlauf gerade beendet:


Und alle diese 20 ungebetenen Gäste wurden von Malwarebytes nicht entdeckt? Seltsam...

Gruß,
Telemann

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi, hab den OTL Fix gemacht, das Logfile befindet sich im Anhang.

Ist es von Interesse, dass heute schon drei Warnungen von AntiVir kamen? Ich hänge die Logs mal hier an.
(Während des OTL-Fixes hatte ich AntiVir deaktiviert).

Viele Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi Arne,

ich habe das Kasperski-Tool ausgeführt, es wurden 2 verdächtige und 1 schädliches Objekt gefunden. Ich wurde gefragt, was damit geschehen soll. Nachdem ich auf "Cure" geklickt habe, wurde ein Neustart gemacht.

Jetzt weiß ich nicht, wie ich an das Log gelangen soll, weil sich das Kasperski-Fenster nach dem Neustart nicht automatisch öffnete, wie ich es erwartete. Hätte ich vielleicht vor dem Neustart den "Report"-Button anklicken müssen?

Gruß,
Telemann

Ergänzung:

Habe inzwischen herausgefunden, dass die Log-Datei auf C:\ bereit liegt, und habe sie hier angehängt.

Gruß
Telemann

Mach bitte ein neues Log mit dem TDSS-Killer

Hi, neues Log mit TDSS-Killer erstellt.

Diesmal habe ich bei den verdächtigen Objekten keine Aktion durchführen lassen, sondern auf "Skip" gedrückt.

Gruß,
Telemann

Diese EInträge bitte mit dem TDSS-Killer entfernen.