Rechner sauber nach AVASoft Professional Antivirus (=Trojaner)?
 

Hallo,

ich hatte mir am 2. April das Schadprogramm (Trojaner?) AVASoft Professional Antivirus eingefangen. Ich habe meinen Rechner danach nach folgender Anleitung wieder bereinigt:
hxxp://www.bleepingcomputer.com/virus-removal/remove-avasoft-professional-antivirus
Mein Rechner Kennwort habe ich geändert.

Ich bin selbstständig als Webdesigner. Einige meiner Kunden-FTP-Zugänge wurde gehackt, anscheinend aus Filezilla und Dreamweaver geklaut. Ich habe bereits alle FTP-Kennwörter geändert. Es wurde immer versucht die index-Dateien zu verändern. Jetzt muss ich natürlich wissen, woher diese Lücke kam, ob das von AVASoft war. Meinen Rechner werde ich neu formatieren, aber vorher will ich wissen, was passiert ist. Damit ich weiß, welchen Daten ich noch vertrauen kann.

Ich bin gerne bereit für das Service in diesem Forum zu spenden :-).

Meine Logs im Anhang. Username ist immer durch "zwitscher" ersetzt.

Herzlichen Dank schon im Voraus!
zwitscher

Hallo und :hallo:

Bitte diesen Hinweise zu gewerbliche genutzten Rechnern beachten => http://www.trojaner-board.de/108422-...-anfragen.html

Danke für die rasche Antwort!

Ich habe keine IT-Abteilung und hatten den verlinkten Beitrag auch gelesen und dachte es reicht, wenn ich schreibe, dass ich gerne etwas spende!

Ich habe kein Bankdaten meiner Kunden gespeichert, lediglich FTP-Zugänge und hier sind alle Kennwörter bereits geändert.

Ich werde meinen Rechner neu aufsetzen, aber ich möchte trotzdem wissen, ob mein Rechner zur Zeit sauber ist oder nicht.

Könnt Ihr bitte helfen?
Danke.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.


Hast du das gelesen oder nicht? :confused:

Ja, danke für den Hinweis.
Ich hatte es gelesen. Ich habe mir die Logfiles auch durchgeschaut, gelesen (soferne möglich), durchsucht,... und keine einträge gefunden, die auf Kundendaten schließen, weder auf Verzeichnisse noch Dateien.

Insoferne habe ich es als sicher befunden, die Logfiles hier zu posten.

Ich habe den Trojaner innerhalb von einer Stunde wieder von meinem Rechner entfernt, das war am 2.4. Ich wollte jetzt einfach nur wissen, ob mein Rechner seither sauber war, soferne man das sagen kann.

Ich bereite schon alles für die Neuinstallation vor, aber wenn ich weiß, dass er jetzt auch noch nicht sicher ist, muss ich noch einen Schritt weiter zurückgehen. Ich versuche einfach gerade das Ausmaß des Schadens festzustellen.

Selbst wenn ich den Rechner neu formatiere und dann meine Daten wieder auf den neuinstallierten Rechner kopiere, muss ich doch wissen, ob ich diese sauber sind, oder verstehe ich das falsch?

Ich habe leider gerade niemanden vor Ort in der Nähe, der mir technisch helfen kann...

Hast du noch weitere Logs (mit Funden)? Ist dein Virenscanner jemals fündig geworden?

Malwarebytes und/oder andere Virenscanner?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Mein Virenscanner (Avira) ist nicht fündig geworden. Aber wenn man auf eine (über meinen Zugang)-versuchte Webseite geht, dann findet er: HTML/Infected.WebPage.Gen3

MalawareBytes Log vom 1.4. (mit dem Fund)
Malaware Bytes von 3.4.
und RKill.txt, das von bleepingcomputer empfohlen wurde
sorry, die anderen hatte ich als Anhang gepostet, weil alle drei auf einmal zu groß waren. ich könnte sie natürlich noch einzeln posten, falls gewünscht.

danke!

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten


MBAR (Malwarebytes Anti-Rootkit)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Beim Starten von Malwarebytes Anti-Rootkit BETA bekomme ich folgende Abfrage (siehe Abfrage).
Zuerst habe ich "no" geclickt, dann kam eine Abfrage, dass ich das MBAR updaten muss, dann ist nichts mehr passiert.
Ich habe MBAR.exe noch einmal gestartet und bei der Abfrage auf "yes" geklickt.
Dann kam auch die Update-Frage. Habe ich dann neu heruntergeladen und gestartet.

Hier das Log:
Ich mache jetzt mit dem nächsten Tool weiter.

asw MBR Log
und jetzt noch TDSS-Killer

Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

zur Info vorweg:
ich hatte heute vormittag im Firefox eine Erweiterung installiert. sorry, ging nicht anders.
Und mir ist aufgefallen, dass mein PC gestern nachmittag updates vom hersteller (dell) aktualisiert hat. das scheint in den Logs sicher auch auf.


combofix Log

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  Dirlook::
c:\programdata

Folder::
c:\programdata\8211D624B3EA151200008211541B1CCF

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"=-

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

suspect und collect hinweise waren keine.

das log ist zu lange für einen beitrag, daher als anhang.

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.