Trojaner e621ca05.exe auf externer Festplatte. Ist auch mein Rechner befallen?
 

Hallo,
als ich meine externe Festplatte angeschlossen habe, hat mein Virenprogramm Antivir direkt gemeldet Virus gefunden: e621ca05.exe. Ich habe ihn in Quarantäne verschoben. Fundort: I:\Recycler\e621ca05.exe; Meldung Antivir: TR\Dockbot.EB

Die Daten auf der externen Festplatte sind nur noch Verknüpfungen. Ich habe nichts installiert oder ähnliches.
Ich habe hier in anderen Themen bereits viel über den e621ca05.exe gelesen, bin mir allerdings unsicher wie ich in meinem Fall vorgehen muss.
Dazu drei zentrale Fragen:

1. Welche schädlichen Auswirkungen hat der Trojaner genau?
2. Ich habe keine wichtigen Daten auf der externen Festplatte. Reicht es, wenn ich sie formatiere und der Spuk ist vorbei?
3. Mein Rechner scheint nicht infiziert zu sein (Full Scan mit Antivir). Ist das sicher oder muss ich das noch auf andere Weise überprüfen?

Ich freue mich sehr auf Antworten und bedanke mich schon jetzt ganz herzlich,
viele Grüße,
Johannes

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Ich kann dir erst noch nicht genau sagen

Ja, auf jeden Fall

ganz sicher ist es leider nicht

► Hilfeleistung - geplante Vorgehensweise:

• Problemsuche
• Problembeseitigung/Systembereinigung
• Verwendete Programme deinstallieren/entfernen
• Thema abschließen: Tipps zur Computersicherheit

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Mache Häckchen bei LOP- und Purity-Prüfung
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Hallo Kira,

vielen lieben Dank schon Mal.
Ich werde das genau so machen.

Vorher aber noch zwei kurze Frage:
1. Lieber würde ich die Daten auf der Festplatte behalten. Macht es das viel umständlicher?
2. Wann sollte ich die Festplatte formatieren (falls es sein muss)? Wenn mein System sauber ist (falls es überhaupt infiziert ist), wäre es ja dumm, wenn ich es weider infiziere.

Viele Grüße,
Johannes

Ab jetzt sofort gilt, bis zum Ende der Reinigung>:

Hier nun die Log file von MBAM - es wurde eine Infektion auf der externen Festplatte gefunden. Die Daten sind fast alle nicht von mir auf der externen Festplatte, ein Freund hat sie bestückt. Deshlab könnte ich auch alles einfach formatieren.
Auf jeden Fall ist der Fund im Programm Photoshop, das hat er bestimmt nicht gekauft und wie ihr schon sagt bei runtergeladener Software ist zu 99,9% ein Virus drin. Deshalb mache ich das auch nicht, hatte Photoshop aus Prinzip auch nicht installiert, wusste aber nicht, dass ich trotzdem Probleme damit kriegen kann.
Hier der Bericht:

Und hier die OTL Log Files:

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---


Und hier noch die CCleaner File, damit du siehst, dass ich nie gecrackte Software installiert habe:

Ach so und dann habe ich noch eine Nachricht über einen Skriptfehler bekommen nach dem Scan mit MBAM:
Zelle: 1
Zeichen: 1
Fehler: Synthaxfehler
Code: 0
URL: http:\\img-cdn.mediaplex.com\0\13377\139105\comdirect_visa.js

Das sieht mir so aus als hätte da der Trojaner was mit meiner Visa Card gemacht, richtig?

Hier sind drei Gründe, warum Du besser dein System neu installieren sollst:
1.
klingt so oder so nicht gut (verweist eindeutlich auf Rootkit-Technologie und Backdoor-Routine):
2.
Externe Festplatte muss wegen Adobe.Photoshop.CS5-Crack sowieso formatiert werden!
3.
dein Windows veraltet (SP1) fehlt:
Dann hast du ein absolut jungfräuliches System, danach das mulmige Bauchgefühl beim surfen sollte weg sein!

Ui - Mist! Bin mega sauer auf den Kumpel. Das ist nämlich mein Arbeitsrechner und hier sollte so ein Mist nicht drauf sein!!!

Du meinst, es lässt sich nicht anders lösen?
Den Rechner habe ich erst kürzlich neu aufgesetzt, vielleicht habe ich da nicht alles runter geschmissen.

Wie setze ich den Rechner so neu auf, dass sicher alles schädliche runter ist?

Ich würde jetzt die externe Festplatte formatieren. Dann muss ich aber ja meine Daten vom Rechner irgendwo sichern (nicht, dass ich so wieder Viren auf die externe Festplatte ziehe und dann auf den frischen Rechner).

Habe auch noch einen Laptop an den die externe Festplatte mal angeschlossen war, soll der auch neu aufgesetzt werden?

Liebe Grüße,
Johannes

"ganz normal" entweder verwendest Du die Win-CD, oder mit Hilfe eine auf der Platte liegende Recovery (versteckte Partition auf der Platte) kannst "per Hand" das System in den Auslieferungszustand zurück versetzen. Musst nur eine belibige Taste drücken. Das erreichst über ALT + F? (hat jeder Hersteller die Tastaturangabe anders geregelt) - wie Du aus dem Handbuch der Herstellers entnehmen kannst

Was ist zu beachten - Tipps & Rat:
- Die Festplatte sollte auf jeden Fall formatiert werden!

1.
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

2.
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

3.
- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

4.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

es sollte geprüft werden, ob solche Gefähr besteht, muss nicht infiziert sein!

Vielen lieben Dank für deine Hilfe.
Die externe Festplatte habe ich jetzt formatiert. Den Rechner werde ich sobald ich etwas Zeit habe nach deiner Anleitung neu aufsetzen und alle Passwörter ändern.

Muss ich auch vertrauenswürdige, ausführbare Dateien, wie z.B. die Installationsdatei von Microsoft Office runtergeladen von der Microsoft Seite) löschen und dann neu runterladen?

Habe nun meinen Laptop auf die gleiche Weise durchgescannt, keine Viren gefunden.
Was meinst du, kann ich den Rechner so lassen?

Hier die logfiles:

MBAM
Die OTL files
OTL Logfile:
--- --- ---

OTL Logfile:
--- --- ---


Und noch die installierten Programme

soweit ich es beurteilen kann, sieht ganz gut aus

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
alte Java Version Deinstallieren, neue installieren:
Java-Version prüfen ggf aktualisieren:-> klick hier!
Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.
-> Warum sollte ich ältere Java-Versionen aus dem System entfernen?

3.
Aktualisieren:
-> Mozilla Firefox-> Hilfe -> über Menü Hilfe -> "Über Firefox"
Info:-> Firefox auf die letzte Version aktualisieren

4.
Tipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!:
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

5.
Alle Programme/Fenster schliessen
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.
Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

Den PC NUR online scannen und NICHT ein zweites Antivirenprogramm installieren!!!

• Eset Online Scanner (NOD32)
  • Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
  • Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Wenn fertig, das Protokoll speichern und mir posten.
    -> List of found threats
    -> Export to text file
    -> Back
    -> Delete quarantäne files
  • Finish drücken.
  • Browser schließen.
  • Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

So, nun endlich habe ich alles durchgeführt strickt nachc Anleitung. Der infizierte Rechner ist komplett formatiert und neu aufgesetzt.

Der Laptop hat alle Schritte durchlaufen, hier die Logfile von OTL


Der Eset Online Scanner hat alle Laufwerke (inklusive der zwei externen Festplatten) gescannt und keine Bedrohungen gefunden. Einen Bericht darüber konnte ich nirgends exportieren.
Während des Scans hat sich wohl der Computer einmal runtergefahren, also habe ich den Scan am nächsten Tag nochmal gemacht. Die Firewall war noch ausgeschaltet, aber ewahrscheinlicherweise war Antivir wieder aktiv (habe ich erst bemerkt als ich wieder aktivieren wollte). Ist das schlimm, soll ich es nochmal machen?

Viele Grüße