Trojan.Win32.Yakes.cmpu und not-a-virus:RemoteAdmin.Win32.WinVNC.mx durch Kasperky gefunden - Vorgehen?
 

:glaskugel2:Am 14.3. hat Kasperky durch einen Routine-Check folgende Funde hervorgebracht:

Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (3)
not-a-virus:RemoteAdmin.Win32.WinVNC.mx Nicht gefunden 14.03.2013 22:25:52 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0004
not-a-virus:RemoteAdmin.Win32.WinVNC.ad Nicht gefunden 14.03.2013 22:25:51 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0000
not-a-virus:RemoteAdmin.Win32.WinVNC.ad Nicht gefunden 14.03.2013 22:25:51 C:\System Volume Information\_restore{C49A12F7-9AA1-4A01-85CA-FF425766B64B}\RP444\A0463611.exe// data0001
Typ: trojanisches Programm (1)
Trojan.Win32.Yakes.cmpu Gelöscht 14.03.2013 21:54:37 c:\dokumente und einstellungen\user\desktop\xxx ihre nicht beglichene rechnung vom 27.02.2013.zip//Kopie der Rechnung xxx.zip//Rechnung - Mahnung 27.02.2013.zip// Rechnung - Mahnung 27.02.2013.com
Typ: Unbekannt (1)
xxx ihre nicht beglichene rechnung vom 27.02.2013.zip Gelöscht 14.03.2013 21:54:37 c:\dokumente und einstellungen\user\desktop\ xxx ihre nicht beglichene rechnung vom 27.02.2013.zip

Kaspersky scheint diese gelöscht zu haben.
Dannach (19.3. inzwischen war ich nicht da.) habe ich eine Boot-CD von Kaspersky erstellt, die Boot-Reihenfolge geändert und von CD gebootet sowie einen vollständigen Check durchgeführt. Keine Funde.

Gestern (21.3.) hat der Rechner wieder Probleme gemacht. Das D-Laufwerk hatte sich schon vor einem Monat verabschiedet (Festplattencrash) und musste vor einem Monat mit professioneller Hilfe (KrollOntrack) wiederhergestellt. (Neue Festplatt ist nun verbaut). Nun vermute ich, dass sich entweder das C-Laufwerk mit einem Crash ankündigt oder der Virus doch noch aktiv ist.

Folgende Symptome:
1) Das System hatte scheinbar beim Hochfahren einen Fehler und es erschien die Auswahl:
Windows im abgesichtern Modus starten
.
.
Windows mit der letzten funktionierenden Konfiguration starten
Window normal starten
-> Ich hatte dann die letzte funktionierende Konfiguration ausgewählt.
2) Der Task-Manager lässt sich teilweise nicht mehr öffnen (direkt nach dem Neustart, geht's allerdings).
3) Auch wenn ich kaum Programme geöffnet habe, kommt dann folgende Fehlermeldung: Windows - Fehler in der Anwendung " Die Anwendung konnte nicht richtig initialisiert werden (0xc0000017). Klicken Sie auf "ok" um die Anwendung zu beenden." Es gibt nur den OK Button.
4) Die Maus friert ein.

Eine Datensicherung besteht von KrollOntrack Wiederherstellung, Memeo Backup und von Acronis. Acronis ist bestellt und es soll dann nochmals ein Image und eine Datensicherung gezogen werden. Wichtig sind mir nur meine Daten. Der Rechner ist alt und soll innerhalb des kommenden Monats komplett ersetzt werden. Bis dahin brauche ich allerdings den Rechner und muss arbeitsfähig bleiben können. Zur Info: Ich bin Privatanwender, hatte für KrollOntrack aus privaten Gründen das Geld hingeblättert. Anstonsten habe ich nur wenig Ahnung von IT und habe manchmal Hilfe durch einen erfahrenen Experten mittels Teamviewer.

Meine Fragen:
a) Habe ich einen Verschlüsselungstrojaner noch drauf?
b) Kann ich weiterarbeiten?
c) Hält mein System noch einen Monat durch bis der neue Rechner da ist?


Habe nun die Log Dateien erstellt.
Highjackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:33:20, on 21.03.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\SearchProtect\bin\CltMngSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Memeo\AutoBackup\MemeoBackgroundService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\SyncAgent\syncagentsrv.exe
C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe
C:\Programme\TeamViewer\Version6\TeamViewer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\QuickTime\QTTask.exe
C:\Dokumente und Einstellungen\USER\Anwendungsdaten\SearchProtect\bin\cltmng.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\TibMounter\TibMounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Seagate\Seagate Dashboard\MemeoDashboard.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Apps\2.0\BJX8QJBP.M97\9LMJQ2V9.NT4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe
C:\Programme\Memeo\AutoBackup\InstantBackup.exe
C:\Programme\Memeo\AutoBackup\MemeoUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Seagate\Seagate Dashboard\HipServAgent\HipServAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\USER\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.telekom.at/suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SearchProtectAll] C:\Programme\SearchProtect\bin\cltmng.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [AcronisTibMounterMonitor] C:\Programme\Gemeinsame Dateien\Acronis\TibMounter\TibMounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Memeo Instant Backup] C:\Programme\Memeo\AutoBackup\MemeoLauncher2.exe --silent --no_ui
O4 - HKLM\..\Run: [Seagate Dashboard] C:\Programme\Seagate\Seagate Dashboard\MemeoLauncher.exe --silent --no_ui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVMUSBFernanschluss] "C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Apps\2.0\BJX8QJBP.M97\9LMJQ2V9.NT4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\AVMAutoStart.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [SearchProtect] C:\Dokumente und Einstellungen\USER\Anwendungsdaten\SearchProtect\bin\cltmng.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Virtuelle Tastatur - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Links untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156415092656
O16 - DPF: {6D868B99-8B01-4B25-9BD1-ED37AFDF5E29} (Ontrack Data Recovery Verifile Data Reports) - hxxp://www.krollontrack.co.uk/support/ontrack-verifile-report/npvfasp.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1361252403953
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} (CeWe Color AG & Co. OHG Control) - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Acronis Nonstop Backup Service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe
O23 - Service: Search Protect by Conduit Updater (CltMngSvc) - Conduit - C:\Programme\SearchProtect\bin\CltMngSvc.exe
O23 - Service: Google Update Service (gupdate1c9ef90cb9d602c) (gupdate1c9ef90cb9d602c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: MemeoBackgroundService - Memeo - C:\Programme\Memeo\AutoBackup\MemeoBackgroundService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Seagate Dashboard Service (SeagateDashboardService) - Memeo - C:\Programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: Acronis Sync Agent Service (syncagentsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\SyncAgent\syncagentsrv.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe

--
End of file - 14121 bytes

Defogger:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:53 on 21/03/2013 (USER)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


OTL.txt, Extras.txt und Gmer Logfile:

im Anhang als Zip


Info: Gmer hat fast 12h zum Durchlaufen gebraucht und danach ist die Maus wieder eingefroren und Task-Manager konnte nicht geöffnet werden, Windows Fehlermeldung tauchte wieder auf und Rechner musste mittels Not-Aus runtergefahren werden. Alles andere hat nicht funktioniert.

Vielen Dank für die Hilfe und die Beantwortung der Fragen vorab.

Hallo,

Hast du diese Meldung mal genauer gelesen? Denn es heißt ja auch Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (3)

Hattest du mal VNC installiert? Das ist sowas wie Teamviewer

Hast du diese Datei ausgeführt oder nur die ZIP geöffnet? Oder vllt nur die ZIP auf den Desktop gelegt und sonst nix weiter?

Nein, ich habe den Teamviewer, aber nicht VNC installiert. und Ja ich habe obiges sehr genau gelesen. Aber die Installation des Programms und der Fund fand am gleichen Tag statt wie der Fund des Trojaners. Das macht mich halt unsicher.




Zip auf dem Desktop gelegt und 2 x geöffnet.
Also bei ersten Mal war wieder eine Zip Datein drin, dann habe ich dummerweise nochmals draufgedrückt und diese Zip-Datei öffnen wollen und es war noch ein Zip da drin. Das habe ich aber nicht mehr geöffnet, da es mir zu suspekt erschien. Dann eben den Viruscheck durchlaufen lassen und obiges gefunden.

Hilft das weiter? Vielen Dank schon mal im voraus.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten


MBAR (Malwarebytes Anti-Rootkit)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Fehlermeldung mbar.exe bevor die Software eigentlich gestartet war, aber nach
Doppelklick auf die Anwendung:
Registry Value " AppInit_Dlls" has been found, wich may be caused by a rootkit activity.
Note: press "No" button if your are not sure. If the tool crashes or terminates unexpectedly during a system scan , restart the tool and press "yes" should this message appear again.

Do you want to remove this value and restart the tool?
"yes" " no"

Ich habe no gedrückt, weil ich aus dem Program raus wollte und unsicher war.

bitte auf nein klicken und normal weitermachen

1. Durchlauf

2. Durchlauf

Ok, was st mit den anderen Logs?

Bevor ich antworten konnte " Der Scan ist noch am laufen" hat es Fehlermeldungen gegeben und der Rechner war nicht mehr zu bedienen und musste runtergefahren werden. Näheres kommt gleich.

Ausserdem habe ich meine eigene Arbeit und 2 kranke Kinder. Da bin ich derzeit nicht die schnellste, sorry. Mache schon Nachtschichten bis 2 Uhr und muss morgends um 6 wieder raus. Da bin ich momentan etwas langsamer. Es ist gerade überall der Virus drin, glaub ich.

Also der Scan war zuletzt noch am Laufen. Dann musste ich kurz weg. Als ich wieder kam, war Firefox weg, Word, weg und Skype da und 3 Fehlermeldungen. Ausserdem konnte ich kein Programm mehr öffnen und die Programmliste war nahezu leer.

Fehlermeldung 1) Microsoft Visual C++ Debug Library
Debug Error!
Programm: ...d60_0002.00003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
(Please retry to debug this application)
Abbrechen Wiederholen Ignorieren

Fehlermeldung 2):Application Error
Exception EOSError in module Skype.exe at 001F60D
System Error. code 8.
ok

Fehlermeldung 3): Application Error
Exception EoutofRessources in module Skype.exe at 005F0C0
Out of system Ressources.
ok

Ich wollte dann mit dem Screenshot das ganze festhalten, aber da war kein Programm mehr und eine Neue Fehlermeldung kam:

Fehlermeldung 4): Windows Fehler in der Anwendung
Die Anwendung konnte nicht richtig initialisiert werden (0xc0000017) Klicken Sie auf O k um die Anwendung zu beeenden.
ok

Lasse nun den aswMBR nochmals durchlaufen. Kann aber dauern.

Ach ja, im Task Manager konnte ich sehen, dass cltmng.exe die ganzen ressourcen gezogen hat.

Wie weit bist du nun mit den Logs?

Bevor der aswMBR durch ist scheint der Rechner immer neu zu starten und ich kann keinen log sichern. Ich werde nun nochmals einen Versuch wagen und die Internetverbindung dabei kappen und hoffe dass ich damit Erfolg habe. Könnte ggf. auch im abgesicherten Modus den Scan versuchen.
Der cltmng.exe zieht immer viel Ressourcen ab. Keine Ahnung was für ein Programm das ist und was der macht oder ob es damit zusammenhängt.

Bis später.

Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Bitte die Anleitungen sorgfältiger lesen und umsetzen; du hast den tdsskiller falsch eingestellt, bitte nochmal richtig machen

Lieber Cosinus,

ich bin absolut überzeugt davon, dass ihr hier tolle und fantastische Hilfe leistet. Und dafüpr bin nicht nur ich, sondern auch viele andere sicher sehr dankbar.
Aber ich denke, auch ich darf einen respektvollen Umgang erwarten. "Bitte die Anleitungen sorgfältiger lesen und umsetzen;" Mir hier nicht sorgfältige Arbeit zu unterstellen, finde ich ganz ehrlich gesagt abwertend. Ich arbeite hier so gut ich kann und versuche alles umzusetzen. Da ich sehr weit weg von einem IT Experten bin und für fast jeden Schritt weitere Hilfe brauche um es korrekt umzusetzen, ist das nicht ganz einfach. Da kann es jedem passieren, das mal etwas übersehen wird. Ich habe die letzen 3 Nächte pro Nacht nicht mehr als 4h geschlafen und ich bin auch nur ein Mensch und keine Maschine.

Die Logs vom TDSKiller werden leider nicht erstellt, ich muss alles manuel machen.

Gibt es denn schon mal eine Aussage dazu ob mein Rechner infiziert ist oder nicht.
Danke dir aber für deine Hilfe schon mal vorab.

Es war nicht abwertend gemeint sondern nur ein Hinweis, dass die Anleitungen wirklich mit Sorgfalt umgesetzt werden müssen. Dass du keine Maschine bist liegt völlig außer Frage.

Die anderen Fragen werden zeitnah beantwortet, denn die Analyse bzw Bereinigung ist noch nicht abgeschlossen. Ist die Bereinigung erfolgreich, wird der Rechner noch sehr viel länger als einen Monat durchhalten, Voraussetzung ist aber, dass die Hardware durchhält und du dich an die wichtigsten Sicherheitsmaßnahmen auch hälst.


Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Dei Anweisungen werden mit Sorgfalt umgesetzt. Aber es ist nicht einfach so eine lange Liste mit Anweisungen zu befolgen, die ihrerseits auf weitere Seiten via Links verweisen und die z.T. wiederum weitere Links enthalten. Da fällt irgendwann einfach die Übersicht weg.
Eine Bereinigung macht doch nur Sinn, wenn etwas zu bereinigen gibt? Gab es also etwas zu bereinigen?

Combofix Logfile:
--- --- ---

[/code]

Frohe Ostern!

Schon vergessen, das Malwarebytes was bei dir gefunden hat?
Was war denn überhaupt der Anlass deines Threads, doch bestimmt nich weil du ein so sauberes System hast? :confused:


JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Schon vergessen was ich eingangs bei Eröffnung des Threads geschrieben hatte:

Bislang hat mir noch keiner gesagt, das mein Rechner infiziert ist.
deshalb habe ich ja nochmals nachgefragt:
Ich habe nur irgendwelche Programme durchgeführt von denen ich keine Ahnung habe, was sie bedeuten noch was deren Ergebnisse bedeuten. Nochmals ich bin weit weg von einem IT Profi und wenn ich Fragen stelle, hat das seinen Sinn und ich möchte schon gern ernst genommen werden.
Mir ist auch nicht bewusst, dass derzeit schon die Reinigung läuft. Je nachdem wie diese Frage beantwortet worden wäre und wie schlimm das Ausmaß ist, hätte ich ggf. darüber nachgedacht, den Rechner evtl. noch eher auszutauschen, sofern es sich finanziell darstellen liesse und mit meinen Uniarbeiten vertretbar gewesen wäre.
Gut wenn die die Bereinigung läuft, dann frage ich mal so:
Wie weit ist die Bereinigung und kann man diesen Trojaner, sofern er wirklich noch drauf war (War er es denn?) entfernen ohne Schaden am System zu nehmen. Ich bin gerade am Verfassen von meinen Uni-Arbeiten. (Ja es sind 2!) Nochmals zur Erinnerung ich habe keine Ahnung was ich hier tue, da ich Computer nicht mag.
Die Tools lasse ich gerade durchlaufen Ergebnisse kommen sobald sie fertig sind.
Danke dir schon mal.

Ich habe neuerdings Probleme mit Firefox. Er fragt z.B. bei jedem Google-Besuch nach einen fehlenden Sicherheitszertifikat. Ausserdem kann ich Google Maps nicht mehr öffnen mit Firefox. Mit IE geht es. Steht das irgendwie in einem Zusammenhang?

AdwCleaner Logfile:
--- --- ---

OTL Logfile:
--- --- ---

[/code]OTL EXTRAS Logfile:
--- --- ---

[/code]OTL EXTRAS Logfile:
--- --- ---


PS: Ach nur das das oben nicht falsch verstanden wird, ich wollte lediglich wissen, was die einzelnen Schritte tun und ich denke, es ist legitim zu wissen was mit seinem eigenen Rechner gemacht wird.
Dennoch bin ich natürlich sehr dankbar für die Hilfe.

Es ist eine Frage wie man das definiert. Bislang wurde nur "Müll" gefunden => Adware, PUP und eine infizierte ZIP-Datei aus einer Mail
Wenn du den Verschlüsselungstrojaner gestartet hättest, würdest du das an deinen eigenen Dateien wie Bilder, Musik und Dokumene merken => verwürfelte Dateinamen, defekte Dateien

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Super, das freut mich zu lesen!!!

Toller Hinweis! Danke dafür!!!:daumenhoc

Super, den Hinweis nehme ich ebenso dankbar auf!!!

Bislang keine Funde oder so. Er läuft recht sauber und macht momentan kein Probleme weiter, allerdings:confused::

Steht das irgendwie im Zusammenhang und gibt es dafür eine Lösung?

Mir scheint, dass mein Rechner generalgereinigt wurde. :daumenhoc Dafür bin ich sehr dankbar und freue mich sehr darüber!!! Einen Hinweis mag ich noch geben, es ist hilfreich, wenn man weiss wofür oder was gerade getan wird, da kann man vieles besser verstehen und muss nicht dumm nachfragen und weiss evtl. besser worauf es ankommt. Mir hilft es jedenfalls. :abklatsch:

:dankeschoen: Ganz herzlichen Dank für die umfassende Hilfe, die weit über das erwartete Maß hinausging. Ich freue mich sehr, dass es so kompetente Personen wie euch gibt und die noch bereit sind ihr Wissen zu teilen, bzw. hilfreich anderen beizustehen.

Viele Grüße

Erstell dir mal ein neues Profil und teste => Firefox-Profile erstellen und löschen | Hilfe zu Firefox