Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
 

Hallo!

Ich bin auf dieses Forum gestoßen, da ich mir gestern einen Trojaner eingefangen habe. Habe bereits viele Foren durchforstet und hoffe, dass ich bei euch Hilfe bekomme.

Folgendes Problem: Gestern öffnete sich die Datei "realtek_AC97" und wollte meine Zustimmung als Admin. Ich habe natürlich nicht zugestimmt. Das Fenster öffnete sich aber direkt nach meinem Schließen erneut und plötzlich ging das Chaos los: Error-Meldungen, Hardware-Fehlermeldungen - ich weiß leider nicht mehr alles auswendig. Ohne mein Zutun startete der PC neu (habe wireless gleich aus gemacht) und direkt nach dem Anmelden öffnete sich "data_recovery", was ich aber sofort stoppte, in der Angst es sei ein Virus. Trotz Windows-Logo war mir das zu unsicher. Mein Desktop wurde schwarz, komplett leer bis auf die Symbole Papierkorb, Internet und Computer - wenn ich auf "Start" klicke ist alles komplett leer, das C-Laufwerk ebenfalls. Es öffneten sich in Sekunden massig Fenster mit ein und derselben Fehlermeldung, ich habe bei allen auf "cancel" geklickt. Dies hat sich dann ca. 3x wiederholt, zwischendurch konnte ich für ein paar Minuten Malwarebytes drüberlaufen lassen, den Trojaner finden und in Quarantäne verschieben - dann war der PC auch schon wieder aus. Habe danach in den abgesicherten Modus gewechselt.

Wie schon erwähnt habe ich bereits Malwarebytes drüberlaufen lassen (kompletter Scan), dabei wurden 3x "trojan.fasagent" und 2x "PUM.Hijack.StartMenu" gefunden. Leider hab ich das Scan-Protokoll nicht gespeichert und die 5 infizierten Dateien bereits aus der Quarantäneliste entfernt. Ich hoffe nur, dass das kein Fehler war und mir trotzdem jemand weiterhelfen kann...

Als nächstes habe ich, wie hier im Forum empfohlen, den ESET Online Scanner verwendet, der weitere 3 Probleme aufgezeigt hat. Da empfohlen wurde bei "refund found threats" keinen Haken zu setzen, habe ich dies auch nicht getan. Das Ergebnis hab ich dann als Bild festgehalten, da ich mir nicht sicher war ob man was mit dieser Logdatei anfangen kann!? (Oder habe ich etwas falsch gemacht?) Ich hänge beides an.

Als absoluter Computerlaie bin ich sehr froh, dass ich mittlerweile weiß, dass die Dateien nicht verloren, sondern nur versteckt sind und ich habe auch schon testweise Ordner wieder sichtbar gemacht. Allerdings muss ich natürlich sichergehen, dass alle Schädlinge von meinem Laptop entfernt sind, erst dann kann ich wieder aufatmen!

Tausend Dank schon mal an denjenigen, der sich die Mühe macht mir zu helfen!!! :daumenhoc


Habe mir auch OTL runtergeladen und den Scan gemacht:OTL Logfile:
--- --- ---



OTL Logfile:
--- --- ---

Hallo!

Da ich nicht wusste, dass die Logdateien auch gespeichert bleiben wenn man die infizierten Dateien aus der Quarantäne gelöscht hat, werde ich die nun nachträglich einfügen. Ich musste, wie schon erwähnt, mehrere Durchläufe starten, da der PC zwischendurch abstürzte.

Ich hoffe sehr, dass mir jemand weiterhelfen kann, trotz des Entfernens der Schädlinge hat sich der Zustand meines PCs nicht verbessert und ich bin durch mein Studium auf das tägliche Arbeiten mit Grafikprogrammen angewiesen... :(

Hallo,

da hier steht, dass man sich nochmal melden soll, wenn nach 3 Tagen keine Antwort gekommen ist, mache ich das hiermit..hoffe nach wie vor, dass mir jemand von euch helfen kann! Danke!

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.

• Lade Dir Unhide.exe (http://filepony.de/download-unhide/) (by Grinler) herunter und speichere auf deinem Desktop
  für Windows 7 und Vista mit Rechtsklick als Administrator ausführen
• Doppelklick auf das Unhide.exe Icon auf dem Desktop - Alles braucht seine Zeit, also ein bisschen Geduld

<Achtung!>: Wenn Dateien etc, die absichtlich von Dir verborgen waren, also unter eigenschaften versteckt eingestellt hast, musst Du wieder auszublenden, nachdem das Tool ausgeführt wird.

2.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

4.
► berichte in welchem Zustand dein System momentan sich befindet? kurz aber genau...

gruß
kira

Vielen Dank, dass du dich gemeldet hast! :daumenhoc

Ich habe alles nach deinen Anweisungen ausgeführt.

1. Es ist, soweit ich das erkennen kann, alles wieder sichtbar! Bei manchen Programmen wird in der Schnellstartleiste das Icon nicht angezeigt.

2. OTL:
3. CCleaner: 4. - Mein Laptop ist extrem langsam was Aktionen außerhalb des Internets betreffen.

- Auf meinem Desktop sind Word-, Excel- und .tmp-Dateien aufgetaucht, die entweder aus anderen Ordnern stammen, oder mir völlig unbekannt sind (.tmp-Dateien). Die Beschriftungen sind verfremdet, habe ein Bild angehängt. Was soll ich nun tun?

- Keine Suche über die Startleiste möglich.

- Start- und Taskleiste hängen sich ständig auf: "Windows Explorer reagiert nicht mehr." - es muss alles geschlossen werden.

- Die Datei "data_recovery" wurde heute nach dem 4. Scan als Virus von Avira erkannt und in Quarantäne verschoben.


Sind die Infos ausreichend? :)

Danke und LG!

es gibt 2 Möglichkeiten:
1. Fesplatte formatieren Windows neu einrichten, dann ist alles sauber und läuft perfekt
2. Mußt Du herumbasteln solange, bis Du sorglos wieder am Pc arbeiten kannst (Einstellungen, Symbole etc)
Ich kann Dir helfen die Malware zu entfernen, aber alle Einstellungen, die durch Malware verändert worden sind mußt Du manuell versuchen wieder auf die Reihe kriegen!
Manche Fehler lässt sich allerdings nicht mehr beheben bzw reparieren
wie man schön sagt:
Auf einem abgestorbenen Apfelbaum werden im Nachhinein keine gesunden Äpfel mehr wachsen!

1.
Benötigst diese Müllsammlung hier??:
Anwendungen nur beim Hersteller downloaden!

2.
die Trusted-Zone Einträge (015) sind von dir also absichtlich zur vertrauenswürdigen Zone zugefügt?
3.
Windows Defender:
Parallel zu ein AV-Programm nicht Empfehlenswert aktiv laufen lassen, weil dadurch können sich in die Quere kommen. Bitte dich ihn so zu deaktivieren: -> Aktivieren und Deaktivieren von Windows Defender
Windows Defender komplett deaktivieren

Start => Systemsteuerung => Klassische Ansicht => Windows Defender oder
Windows Defender starten (C:\Programme\Windows Defender\MSASCui.exe)

Extras => Optionen => Automatische Überprüfung => Haken bei "Computer automatisch überprüfen" entfernen.
Extras => Optionen => Echtzeitschutz => Haken bei "Echtzeitschutz aktivieren" entfernen.
Extras => Optionen => Administrator => Haken bei "Dieses Programm verwenden" entfernen.

Start => services.msc ins Suchfeld eingeben.
Es öffnet sich das Fenster der Dienste
Doppelklick auf den Dienst "Windows Defender"
Starttyp auf "Manuell" umstellen.
Dienststatus beenden, falls der Dienst noch gestartet ist.
► Nach einem Neustart (falls noch existirt) unter "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK -> Systemstart kontrolliere, ob mitläuft?! - ggf Häckhen rausnehmen
► Unter Dienste:
Start -> Ausführen -> "Services.msc" -> (reinschreiben ohne ""-> OK" - "Eigenschaften"-> "Stop" -> Starttyp "Deaktiviert" auswählen

4.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

5.
Java aktualisieren- über Systemsteuerung-> Nach Update suchen...
oder:
Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 4 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

6.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Wie kann ich den Cache im Internet Explorer leeren?

7.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
  Achte darauf, eventuell angebotene Toolbar nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar (falls nötig), entfernen.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

10.
-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

11.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Also ich möchte mich gerne für den 2. Punkt entscheiden und alles tun, was mich vor einer Neuformatierung bewahrt! :)

Es hat leider etwas gedauert alle Punkte abzuarbeiten, hier die Ergebnisse:

1. Die Toolbars habe ich bei web.de direkt runtergeladen und web.de ist anscheinend von 1&1. Die Toolbar benötige ich, mit dem Rest weiß ich nichts anzufangen...

2. Nein, ich weiß nicht einmal was eine vertrauenswürdige Zone ist?! Wie bekomm ich die Dateien da wieder heraus?

3. Den Windows-Defender habe ich deaktiviert.

4. Alles mit OTL gefixt.

5. Java aktualisiert.

7. System mit CCleaner gereinigt.

8.
10. Mit Eset gescannt, es wurden keine infizierten Datein gefunden.

11.

12. - Start- und Taskleiste hängen sich nicht mehr auf
- Suche über die Startleiste ist wieder möglich
- Verschwundene Icons sind nach wie vor verschwunden (aber damit kannich leben)
- PC reagiert immer noch langsam, aber es hängt sich zum Glück nichts mehr auf

Eine Frage: Ich habe mir eine neue externe Festplatte gekauft, um die Daten von meinem PC nach der "Reinigung" dort zu sichern. Wann wird dies möglich sein bzw. würdest du mir dazu oder davon abraten?

Habe heute zusätzlich noch Avira laufen lassen, da es als einziges Programm den data_recovery-Virus entdeckt hatte. Folgendes Ergebnis sieht eigentlich gut aus..?!

Habe heute zusätzlich noch Avira laufen lassen, da es als einziges Programm den data_recovery-Virus entdeckt hatte. Folgendes Ergebnis sieht eigentlich gut aus..?!

Sorry, unabsichtliches 3-fach-Posting, mein Internet hat gesponnen, mein Post kann gelöscht werden.

Mit Rechts-Klick auf den Desktop wähle -> Neu -> Verknüpfung ... Wähle die gewünschte Programm-Verknüpfung aus

1.
SUPERAntiSpyware und Malwarebytes kannst deinstallieren

2.
Fixen mit OTLPE

• Starte die OTLPE
• Kopiere folgendes Skript (unverändert inkl. :OTL):

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Run Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.
Lade dir von hier -> TrendMicro™ HijackThis™/Version 2.0.4 herunter

Guten Morgen!

Auf dem Desktop ist alles wieder vorhanden, es handelt sich, wie oben beschrieben, um ein paar Icons, die in der Schnellstartleiste nicht mit ihrem richtigen Logo angezeigt werden. Ich sehe stattdessen ein weißes Fenster.

1. Habe Superantispyware deinstalliert, Malwarebytes würde ich gerne behalten.

2. Mit OTL gefixt

3. Hijackthis
Wie sieht es momentan aus, meinst du wir bekommen das wieder hin?

1.
kannst deinstallieren:
Malwarebytes' Anti-Malware

2.
► Empfehlungen/Vorschläge:

Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.- Bei allem Häkchen weg was nicht starten soll.
Die Programme bleiben dabei erhalten, falls man braucht, kann jederzeit manuell gestartet werden!
Es ist immer Benutzerspezifisch (ein allgemein gültiges Rezept gibt es nicht), Tipps kann ich Dir geben

► Vista u. Win7: "Start -> Alle Programme-> Zubehör-> Ausführen" .. und gibst Du "msconfig" (ohne "") ein ->OK -> Systemstart-> Häckhen weg
An deiner Stelle würde ich aus dem Autostart folgende Programme rausnehmen:
(Autostart-Einträge, die Du nicht findest, einfach mit HijackThis fixen:
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Achtung!:
Für die aufgelisteten Programme gelten zusätzlich, dass man nach Aktualisierung (AfterUpdate) erneut unter Start und Dienste nachkontrollieren ggf erneut deaktivieren muss!

3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
► Rechtsklick auf HijackThis-> "Als administrator ausführen" wählen...(Wista und WIN 7)

► eine bemerkbare Besserung eingetreten?

Ich habe einige Programme, die du mir empfohlen hast, manuell aus dem Autostart genommen.

Bevor ich allerdings mit Hijackthis etwas fixe, möchte ich gerne wissen was ich von dieser Meldung halten soll, die erscheint wenn ich auf "Scan" klicke und die ich angehängt habe. Kann ich die ignorieren oder was ist zu tun?

Desweiteren kommt eine "catalyst control centre"-Fehlermeldung, wenn ich den PC neu gestartet habe...habe ich ebenfalls angehängt.

:dankeschoen:

Hallo Kira,

würde mich freuen wenn du dich [oder auch jemand anderes falls du noch länger verhindert bist] dazu nochmal äußern könntest, damit die Sache (hoffentlich) abgeschlossen werden kann. :daumenhoc

Vielen Dank und LG

sorry, wegen Urlaub konnte ich nicht früher antworten :)

bei Vista und Win7:
Rechtsklick auf HijackThis-> "als Administrator ausführen" auswählen

Das habe ich mir fast gedacht! ;)

Die Funktion "als Administrator ausführen" ist bei mir leider nicht möglich?! Siehe Anhang.