AVG unerwartet beendet (verdacht auf Keylogger/Trojaner)
 

Guten Tag liebe Forengemeinde,

erstmal ein herzliches Dankeschön an die Helfer dieser Seite,
die nun versuchen Gewissheit über mein System anhand der ausgewerteten Logfiles zu erörtern.

Gescannt habe ich Streng nach Anleitung!

Hierzu gibt es noch ein paar besondere Vorkomnisse die ich gerne so genau wie möglich hier schildern möchte.

1. Zum Scannen habe ich AVG Internet Security 2013 (Trialversion) kommplett deinstalliert.
Sowie Google Drive und Dropbox aus dem Autostart genommen und ebenfalls beendet.

2. Unter System Events im Extras.txt ist die eine unerwartet Beendigung von AVG genau aufgeführt. Dies war aber nicht der Zeitpunkt der Deinstallation.

3. Nach dem Scann mit Gmer wurde beim ersten Scann die Meldung ausgegeben und ich konnte somit auch kein logfile speichern.
Bei meinem Neustart nach dem Scann dauerte das Herunterfahren auffällig lang (3-4min) was mich dazu veranlasste den Rechner einfach auszuschalten. Dazu muss ich sagen das mein System noch nie so lange gebraucht hat zum Herunterfahren außer es installiert Updates. In diesem Fall war es aber einfach so das 3-4min nur "Herunterfahren" angezeigt wurde. Wieder im System veranlaßte ich einen neuen Scann, natürlich wieder Streng nach Anleitung was zu einem Bluescreen führte (vorher noch nie gehabt). Leider habe ich es versäumt die Fehlermeldung zu notieren, wo ich nun leider keine genauen Angaben dazu machen kann.
Mein erneuter Scann mit Gmer förderte nun ein paar Einträge ans Licht die aber größtenteils aus dem Programm Skype bestehen. Komisch ist zwar das beim ersten mal nix gefunden wurde, zwischendrinn ein Bluescreen auftaucht und beim dritten mal ein paar hoffentlich unbedeutende Einträge auftauchen.

Zur Anleitung wie man die Programme defrogger, OTL und gmer benutzt, hätte ich in diesem Fall einen kleinen Verbesserungsvorschlag :singsing:
Wenn gmer keine Modifikationen entdeckt (wie bei meinem ersten versuch), hat man keine möglichkeit ein logfile zu speichern. Wenn man nach dem bestätigen der Meldung Save auswählt, bekommt man natürlich ein leeres logfile. Wenn man dies in der Anleitung noch genau erwähnt, könnte man in diesem Fall eine Verwirrung vorbeugen. (wie sie in meinem Fall entstanden ist.)

Nun gut,
ich hoffe ich habe alles so genau wie Möglich beschrieben.

Danke vorab fürs Analysieren.

:hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

hallo cosinus,
man ich hab total vergessen die Logfiles in den Thread zu posten :balla:

Hier die Logfiles die ich natürlich streng nach Anleitung erstellt habe.











Danke für Analysieren :dankeschoen:

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Cosinus,

Malwarebytes Anti Rootkit hat nichts gefunden.

hier der log

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hier wären dann die anderen Logfiles vom aswMBR und TDSS Killer.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hi Cosinus,

da die Prozedur mit ComboFix ja anscheinend ein bisschen Aufwändiger ist und ich nun zu einem Geburtstag muss, werde ich es gleich morgen in Angriff nehmen.

Sagen wir morgen gegen 16Uhr? Bist du auch am Sonntag tätig?

Wünsche dir erstmal ein schönes Wochenende.

Gruss
Keks

p.s. Bin sehr angetan von eurer Hilfe und Kompetenz hier. :abklatsch:

:dankeschoen:

Sonntag hab ich leider Hausarbeit und Familienbesuch aufm Zettel :(
Aber Sonntag Abends bin ich wohl da :)

Schönen Guten Abend Cosinus,

hier das logfile von ComboFix. Hat alles ohne zu mucken wunderbar gescannt.
[CODE]
Combofix Logfile:
--- --- ---

--- --- ---

Sagmal, ist bei dir Kaspersky und AVG 2013 gleichzeitig am Rennen??!

haha, nein! xD
Ich hatte nur AVG Internet Security vor dem Scan deinstalliert, weil ich mal Kaspersky Internet Security testen wollte.
Ich benutze immer die 30 Tage testzeitraum und installiere mir dann einen anderen Virenscanner.
Also momentan läuft Kaspersky! Klar das du durcheinander gekommen bist. Vor dem Scann mit OTL habe ich AVG deinstalliert!!!

Ich sehe da aber noch diese Dienste von AVG....hm :confused:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Allerdings!!! Das hat mich nun auch Aufmerksam gemacht und hab dies erstmal gecheckt.
Hier ein Interessanter Link zu dem Thema wie Hartnäckig AVG zu entfernen ist.
hxxp://www.chip.de/artikel/AVG-deinstallieren-So-entfernen-Sie-den-Scanner-restlos_49782854.html

Habe also nun mit dem Removertool, da es ja mit der normalen deinstallation nicht gereicht hat den AVG Scanner komplett und Restlos entfernt. Ich kann dazu aber sagen das ich zwar noch reste vom AVG drauf hatte die aber nicht gestartet worden sind. Also es waren keine zwei Virenscanner gleichzeitig installiert und am laufen.

Hier noch zum Abschluß die Logfiles vom adwcleaner und OTL. Bedenke bitte das ich vor der benutzung des adwcleaner und OTL das Removertool von AVG laufen lassen hab um die Reste zu entfernen.
AdwCleaner Logfile:
--- --- ---

[/CODE]


OTL Logfile:
--- --- ---

warum steht hxxp in dem link? habe jetzt zweimal kontrolliert und bin mir sicher das ich http kopiert habe! Wird das erst vom board geprüft?

Gruss
Keks

Ja, auch Sicherheitsgründen wird das http automatisch entschärft

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Servus Cosinus,

Malwarebytes und ESET haben nichts gefunden.

Danke dir.

Ist mein System jetzt sauber?

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Danke Cosinus,

ist ganz interessant mit den MVPS Hostfile.
Da ich aber meine Passwörter nie speicher und alles beim beenden des Browseres sowieso gelöscht wird ist das glaube ich nicht unbedingt auch noch nötig.

Dann wars das?

Gruss
keks

Du hast die Hosts-Datei nicht verstanden. Das hat rein GARNIX mit gespeicherten Passwörtern zu tun!

Moin Cosinus,

ja das stimmt, habs auch nur einmal überflogen. Hab dann wohl die MVPS Hostfiles mit dem CookieCuller verwechselt.
Also nachdem ich es jetzt nochmal durchgelesen hab verstehe ich das als ein Filter der die unerwünschten Verbindungen wie banner, hijackers, 3rd Party Cookies oder wie du es nennst: "Die Pest" :lach: blockiert! Bzw. Die hostnamen werden von windows erst garnicht an den DNS server geschickt der mich dann mit der ip adresse verbinden würde.

Verbesser mich wenn ich falsch liege. Bin bei diesem Thema immer ganz Ohr. Interessiert mich total sowas.


Gruss
Keks

Bingo! :)
Du kannst dir die Hosts-Datei als "lokales DNS" vorstellen, das immer oberste Prio hat. Wenn du eine Adresse auflösen willst dann schaut das Betriebssystem immer erst in die Hosts-Datei, wird es da fündig und kann es der Adresse einer IP zuordnen, wird keine Anfrage an (irgendeinen) DNS-Server geschickt und die IP, die in der Hosts-Datei dieser Adresse zugeordnet ist wird dann verwendet. :daumenhoc

Hallo Cosinus,

habe jetzt auch noch das Hostfile geupdatet. Ist ne tolle Sache mit dem File.
Auf How To: Update the HOSTS file in Windows 7 empfehlen die ja den DNS Client unter Dienste auf manuell zu setzten wenn das Hostfile größer als 135kb ist, da es ansonsten das System verlangsamt.
Habe das jetzt auch gemacht! Richtig so oder nur machen wenn das System langsam dadurch wird! Kannst du mir erklären was passiert wenn man den DNS Client auf manuell oder disable setzt?

Sorry hab so viele Fragen weil mich das Theam sehr Interessiert.
Wo kann ich lernen selber Logfiles auszulesen?
Hast du noch ein bisschen Hintergrundwissen für mich über Viren usw.

Noch etwas:
Als ich mit dem TDSS Killer gescannt habe waren da ja zwei funde. Da du nichts weiter darüber gesagt hast, habe ich sie nicht gelöscht. Sind die ungefährlich? Um was handelt es sich da genau? Adobe scheint ja klar zu sein.. Was ist IdriverT?


Gruss
Chriss

Durch MVPS Hosts hab ich bisher noch keine Verlangsamung bemerkt...

Interne Infos plaudern wir doch nicht öffentlich aus. Du musst dich mit dem abfinden, was öffntlich ist wie zB http://www.smokey-services.eu/forums...sg,107078.html

Wenn das was entfernt werdne müsste hätte ich das schon gepostet :rolleyes:
Und was die Einträge sind findest du über Google, das muss ich ja jetzt wohl nicht für dich machen :pfeiff:

Ok danke dir aber fürs Analysieren.
Tolles Board.


Schönes Wochenende


Gruss

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Alles klar wird gemacht.

Weil du sagst nach der beseitigung der Infektion. Ich hatte doch jetzt garkeinen Virus oder sonstige Parasiten auf meinem Rechner. Es war ja nur der Verdacht.
Oder?

Das ist ein Standardtext, Passwörter mal zu ändern ist angebracht, eine reine Vorsichtsmaßnahme.