|
Malware/Trojaner "Achtung! Ihr Computer wurde gesperrt!" Ich habe mir einen Virus/Trojaner eingefangen, der nach dem Hochfahren meines Notebooks kurz den Desktop zeigt, bevor der Bildschirm weiß wird und ein blaues Fenster mit dem Namen "Windows-Security-Center" erscheint, in dem ich aufgefordert werde 100 Euro über u-kash oder paysafecard zu bezahlen, um meinen Computer wieder zu "entsperren". Virensuche und Bereinigung mit Antivir im abgesicherten Modus hat nicht geholfen. Mein Betriebssystem ist Windows Home Premium. Inhalt des dds-files: .DDS Logfile: Code: DDS (Ver_2011-08-26.01) - NTFSAMD64 NETWORKinhalt des attach-files: . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft Windows 7 Home Premium Boot Device: \Device\HarddiskVolume2 Install Date: 07.03.2011 12:42:03 System Uptime: 01.04.2012 21:08:22 (0 hours ago) . Motherboard: ASUSTeK Computer Inc. | | K50ID Processor: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz | Socket 478 | 2300/200mhz . ==== Disk Partitions ========================= . C: is FIXED (NTFS) - 75 GiB total, 31,629 GiB free. D: is FIXED (NTFS) - 204 GiB total, 140,627 GiB free. E: is CDROM () F: is CDROM () . ==== Disabled Device Manager Items ============= . Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318} Description: Microsoft-ISATAP-Adapter Device ID: ROOT\*ISATAP\0002 Manufacturer: Microsoft Name: Microsoft-ISATAP-Adapter #2 PNP Device ID: ROOT\*ISATAP\0002 Service: tunnel . Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} Description: Security Processor Loader Driver Device ID: ROOT\LEGACY_SPLDR\0000 Manufacturer: Name: Security Processor Loader Driver PNP Device ID: ROOT\LEGACY_SPLDR\0000 Service: spldr . ==== System Restore Points =================== . No restore point in system. . ==== Installed Programs ====================== . A.F.7 Merge your files 1.3 Acrobat.com ActionVoip Adobe AIR Adobe Flash Player 10 ActiveX Adobe Reader X (10.1.2) - Deutsch Alcor Micro USB Card Reader Apple Application Support Apple Software Update ASUS AI Recovery ASUS AP Bank ASUS FancyStart ASUS LifeFrame3 ASUS Live Update ASUS MultiFrame ASUS Splendid Video Enhancement Technology ASUS Virtual Camera ASUS_Screensaver ATK Package Avira Free Antivirus Big Fish Games: Game Manager Bing Bar BitTorrent Boingo Wi-Fi Choice Guard ControlDeck CSI - Deadly Intent DAEMON Tools Lite DAEMON Tools Toolbar Digitale Bibliothek 4 EA Download Manager eMule Google Chrome Google Toolbar for Internet Explorer Google Update Helper Java Auto Updater Java(TM) 6 Update 29 JDownloader Junk Mail filter update McAfee Security Scan Plus Microsoft Office 2010 Microsoft Silverlight Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Sync Framework Runtime Native v1.0 (x86) Microsoft Sync Framework Services Native v1.0 (x86) Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Mozilla Firefox 11.0 (x86 de) MSVCRT MSXML 4.0 SP3 Parser (KB973685) NB Probe NVIDIA PhysX NVIDIA Stereoscopic 3D Driver OpenAL OpenOffice.org 3.3 PlayStation(R)Network Downloader PlayStation(R)Store Portalarium Player QuickTime Realtek Ethernet Controller Driver Realtek High Definition Audio Driver Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841) Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708) Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870) Security Update for Microsoft .NET Framework 4 Extended (KB2416472) Security Update for Microsoft .NET Framework 4 Extended (KB2487367) Security Update for Microsoft .NET Framework 4 Extended (KB2656351) Skype Click to Call Skype™ 5.5 Sony Ericsson PC Companion 2.01.217 syncables desktop SE Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2473228) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) Update for Microsoft .NET Framework 4 Extended (KB2468871) Update for Microsoft .NET Framework 4 Extended (KB2533523) Update for Microsoft .NET Framework 4 Extended (KB2600217) VLC media player 1.1.11 Windows Live-Uploadtool Windows Live Anmelde-Assistent Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Fotogalerie Windows Live Mail Windows Live Messenger Windows Live Sync Windows Live Writer WinFlash Wireless Console 3 . ==== End Of File =========================== Es tut mir leid, ich habe das aus Versehen unter einer falschen KAtegorie gepostet. Bitte teilt mir mit, ob ich es noch einmal posten soll, oder ob ihr meine Anfrage trotzdem bearbeiten wollt. Danke! |
hi, 1. öffne avira, poste das log mit funden, zu finden unter avira, berichte. 2. Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Hallo markusg, vielen Dank für deine Antwort. Ich habe heute vormittag noch mal einige Postings durchgelesen und herausgefunden, dass die entscheidende Datei wohl "mor.exe" ist. OTL habe ich auch schon laufen lassen, aber vor deiner Antwort, also ohne vorher den von dir angebenen Inhalt in die Textbox zu kopieren. Das Programm Malwarebytes (auch hier in den Foren gefunden) habe ich auch heruntergeladen und einfach mal laufen lassen, und es hat auch die "mor.exe"-Datei gefunden und den Fehler anscheinend behoben, denn im Moment scheint das Notebook wieder normal zu laufen. Ich bin mir aber nicht sicher, ob die Malware vollständig entfernt wurde, gibt es da etwas, was ich noch checken muss? Ich hoffe, niemanden von euch mit meinem eigenständigen Herumexperimentieren verärgert zu haben - die Zeit drängelt sehr, und ich wollte nicht mit Posting-Pushing nerven. Ich hänge einfach mal den Antivir-Report von gestern und die OTL-Reporte von heute, vor der Analyse von Malwarebytes an. Falls euch noch etwas interessiert für die Auswertung, oder falls ich noch etwas machen muss, gib mir bitte bescheid. |
hatte ich irgendwas von malwarebytes geschrieben? glaub nicht.... wo ist das log? Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Zuerst das Malwarebyte-Log von meinem eigenmächtigen Akt heute vormittag: Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.02.03 Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.7601.17514 Peter :: PETER-PC [Administrator] Schutz: Deaktiviert 02.04.2012 13:10:38 mbam-log-2012-04-02 (13-10-38).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 212187 Laufzeit: 4 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.Agent) -> Daten: C:\Users\Peter\AppData\Local\Temp\mor.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Users\Peter\AppData\Local\Temp\mor.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Peter\AppData\Roaming\08042011.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Peter\AppData\Roaming\data.dat (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Und hier das Combofix-log: Combofix Logfile: Code: ComboFix 12-04-01.03 - Peter 02.04.2012 18:50:20.1.2 - x64Ist mein Rechner nun sauber? |
update malwarebytes, vollständiger scan log posten |
Malwarebytes geupdated und nochmal gescanned. Hier vollständiges log: Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.03.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Peter :: PETER-PC [Administrator] Schutz: Aktiviert 03.04.2012 10:51:53 mbam-log-2012-04-03 (10-51-53).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215923 Laufzeit: 6 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
lade den CCleaner standard: CCleaner Download - CCleaner 3.17.1689 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Hallo Markus, ich habe gerade gesehen, wie viele Anfragen du gleichzeitig bearbeitest. Bist du sicher, dass du keine Maschine bist? Wie behältst du den Überblick bei dem Hyper-Multi-Tasking? Kriegst du bei dem unmenschlichen Arbeitspensum keine Rückenschmerzen oder Nackenverspannung? Auf jeden Fall schon mal ein dickes Dankeschön an dich, die Hauptprobleme scheine ich ja schon überstanden zu haben. Im Anhang die CCleaner-Liste als Textdatei. |
vllt bin ich ja eine, und weis es selbst gar nicht? deinstaliere: deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: ASUS_Screensaver Big Fish Bing Digitale Bibliothek EA Google Toolbar Java Download der kostenlosen Java-Software downloade java jre, instalieren. deinstaliere: Microsoft Office Microsoft Silverlight PlayStation: beide Portalarium syncables öffne otl bereinigen neustart. öffne ccleaner analysieren, ccleaner starten, pc neustarten. testen wie das system läuft |
Hi Markus, mach doch einfach mal den Voight-Kampff-Test bei einem Replikantenjäger deiner Wahl, dann weisst du ob du Mensch oder Maschine bist ;) Obwohl - vielleicht ist es besser, in dieser Hinsicht unwissend zu bleiben, ausserdem braucht man für derart komplexe Replikanten über hundert Fragen - das nervt auch die coolste Maschine. Ich habe alles gemacht, was du mir geraten hast. Nach dem letzten Neustart lief mein Notebook super. Spürbar schneller als noch vor dem Trojaner-Befall. :)) |
start ausführen, msconfig enter systemstart alle haken raus, außer avira. ok klicken, gerät startet neu. falls noch was wichtiges fehlt kann man es wieder anhaken. danach können wir das gerät noch absichern, mach aber erst mal das. |
alle haken außer avira sind raus. läuft alles soweit gut. |
pc absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie Download - Sandboxie 3.66 anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Das meiste habe ich mittlerweile gemacht. Als Antiviren-Software Avast statt Antivir, Windows-Update-Einstellungen, neues Nicht-Admin-Benutzerkonto kreiert, SEHOP aktiviert, Benutzerkontensteuerung Regler ganz hoch, Google-Chrome installiert, Filehippo und Secunia installiert und Updates installiert. Sandboxie und Backupprogramm habe ich schon geladen, aber noch nicht installiert. Da ich Windows 7 habe, weiß ich nicht, was besser ist. Backup mir Paragon oder mit dem Windows-Backupper. Ach ja, und DEP habe ich noch nicht eingeschaltet, weil die Auswahl von Programmen, die ausgenommen werden sollen, umständlich ist. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board