Trojaner FakeMS
 

Hallo liebe Helfer,

habe mir scheinbar einen Trojaner (Fake MS) an Land gezogen. Aufgefallen ist es, als ich mich gestern bei der Comdirect-Bank einloggen wollte (siehe Screenshot Anhang).

Logs von defogger, OTL, GMER und Malwarebytes im Zip.

Vielen Dank,
OSAS

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo,

vielen Dank für deine Hilfe t'john.

Zum Verstädnis für mich: Wo lag/liegt das Problem? Was hat OTL individualisiert gefixed? Nur die Wogyg\afhyo.exe?

Punkt 2 hat nicht reiblunglos funktioniert. Neben der Wogyg\libnspr4.dll (Trojan.FakeMS) Datein wurde auch die nv4_mini.sys als Fund markiert. Beim Neustart dann Bluescreen mit manuellem Ausschalten. Wie beschrieben zweiter Durchlauf. Trohjaner weg, aber mit der nv4_mini.sys das gleiche Spiel. Habe sie jetzt also belassen.

Punkt 3 wieder einwandfrei.

Hier die Logs:

OTL Fix
Mbar Log 1
Mbar Log 2
AdwCleaner

Siehe Fix. die ersten Zeilen sind alles Malware. Es war nicht nur eine Datei.

OK, wahrscheinlich Falschmeldung.

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Guten Abend,

der gewünschte Link von Virustotal:

https://www.virustotal.com/de/file/289ee63e39f9e54246403f5e20457a8e6b864445932ac8d6b601a81e68de099b/analysis/1361821792/

:heilig:

War falscher Alarm.


Sehr gut! :daumenhoc

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Das war's, PC gecrashed.

Was war passiert?

Habe am Dienstag die ersten deiner beiden Programme laufen lassen.
Mittwoch beim Hochfahren war die Bildschirmauflösung verstellt und die Grafik ruckelte. NVIDEA Programme ließen sich nicht mehr starten. Auflösung über Desktop -> Eigenschaften angepasst. NVIDEA Treiber neu installiert und alles funktionierte wie vorher. Am Ende noch das dritte Programm laufen lassen und ausgemacht.
Heute den PC hochgefahren, alles okay. Nach 3 Stunden Betriebsdauer poppt zeitgleich zweimal die gleiche Meldung auf. Wortlaut in etwa (leider nicht richtig gemerkt): Verbindung zum Server deaktiviert. Fortfahren ja/nein? oder Neustart ja/nein? Oder so ähnlich. Welcher Server hab ich gedacht, alles geschlossen und auf Ja geklickt.

Danach fuhr der PC sofort runter (nicht das übliche abmelden) und hing in der Dauerschleife zwischen Neustart -> Devices angezeigt -> Windowslogo -> Bluescreen -> Neustart

Bluescreen kam so kurz, dass ich nichts lesen konnte. Ich denke da stand auch "Kernel" und "Server", kann es aber nicht genau sagen. Bei "Server" bin ich mir noch unsicherer als bei "Kernel".

Im Endeffekt ging nix mehr. Hab dann nach langem Überlegen über die Windows CD gestartet und wollte unter Inkaufnahme des Datenverlustes der Desktopelemente XP unter C neuinstallieren, in der Hoffnung, die Daten auf D bis F zu behalten. Leider zeigte er mir keine Partitionen mehr an, sondern nur noch das Laufwerk C mit der gesamten Speicherkapazität als leer. Nächster Schritt: Formatieren.

Klasse.

Nach Umstellen des Boot-Device auf Festplatte kommt nicht mal mehr das Windows-Logo. Wollte den Bluescreen mal filmen um wenigstens sagen zu können, was los ist, aber jetzt hängt nach dem ersten Main-Board-Schirm der Startprozess auf nem schwarzen Bildschirm mit nem blinkenden Cursor oben links.

Irgend eine Ahnung, was passiert sein könnte? Der Eset-Online-Scan war ohne Fund durchgelaufen. Der SecurityCheck dürfte ja wohl auch nichts verändert haben. Ich bin mir nicht sicher, ob nicht die aswMBR.exe irgendwas "bewirkt" hat? Ich hatte nur Scan gedrückt und der Rechner lief danach ja auch wie vorher, mit Ausnahme des "kaputten" Grafik-Treibers, was mich nochmal an die nv4_mini.sys erinnert hat.

Irgendwie macht es den Anschein, als ob die Partitionstabelle kaputt ist. Die Festplatte an sich kann eigentlich nicht abgeraucht sein, sonst würde die Windows-Installation sie mir ja gar nicht angeben, oder? Im Prinzip müssten die Daten noch drauf sein. Aktuell scheint kostspielige Datenrettung der letzte Versuch. Denn, letzte Datensicherung stammt vom 21.11.12. Ärger mich schwarz, nicht im Zuge der Trojaner-Geschichte nochmal und sofort gesichert zu haben.

Irgendwelche Ideen die helfen könnten?

Gute Nacht erstmal.

Hoert sich alles nach einem Festplattenfehler an.

Die letzten Programme scannen nur und veraendern nichts.

Du kannst versuchen eine Ubuntu-Live-CD zu brennen und den Rechner damit starten.
Am besten mit UNetbootin - Download - Filepony (http://www.trojaner-board.de/98893-b...erstellen.html)

Dort dann am besten Daten sichern, falls die Platte noch reagiert.

Konnte die Daten mit Testdisk und einer Linux-Live-CD retten

Jetzt ist die Partitionstabelle zwar wieder da, aber der Blue Screen

stop: c0000221 (falsche prüfsumme für datei). die datei kernel32.dll ist wahrscheinlich berschädigt. die vorspannprüfsumme stimmt nicht.

bleibt.

Idee?

Du koenntest versuchen eine Systemwiederherstllung auf einen Zeitpukt vor den Fehler auszufuehren.

Geht der abgesicherte Modus mit Eingabeaufforderung?

Funktionierte beides nicht mehr.

Über ein Neuaufsetzen des Systems komme ich wohl nicht umhin. Im Moment aber nicht schlimm, da 1.) Trojaner so vollends weg und System wieder clean und 2.) neue Struktur eh überfällig war.

Hoffe nur, es war bloß ein Softwarefehler und nicht, dass die Festplatte jetzt regelmäßig aussteigt.

Wenn du alle Daten schon gesichert hast, bietet sich das auch geradezu an ;)

Dann haettest du ein frisches System.

Nach dem Neuaufsetzen, poste mal ein Screenshot von: CrystalDiskInfo - Download - Filepony

Das gibt auskunft darueber, wie fit die Platte noch ist.

hat etwas länger als gedacht gedauert (Skiurlaub ;)), aber jetzt sind die notdürftigsten Sachen wieder installiert.

anbei der Screenshot

Sieht gut aus! ;)

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo,

Datein hängt an.

Grüße