Trojan.VBS.Autorun beim Einstecken eines USB-Sticks
 

Hallo und guten Abend,

ich hoffe, Ihr könnt mir helfen.

Meine Schwester hat sich bei einem Visitenkartenladen auf ihrem USB-Stick den o.g. Trojaner eingefangen. Als sie ihn wieder in Ihren Laptop steckte, schrie ZoneAlarm gleich auf und versuchte zu löschen. Acht von zehn Meldungen wurden gelöscht und die restlichen zwei - wurden nie wieder gesehen. Wir haben uns einen Wolf gesucht und die angehängte ZA-Log gefunden.
Weitere Scans (im abgesicherten Modus) von AntiVir, Spybot, MalwareByte und von ZA haben keine neuen Funde ergeben.
Somit wäre wohl "nur" noch der Stick infiziert - um den kümmere ich mich dann irgendwann!

Meine Schwester hat dann noch HiJackThis durchlaufen lassen. Ich hatte die Log online checken lassen. Aber da die Seite nicht mehr gewartet wird, möchte ich auf Nummer sicher gehen und Euch bitten, mal über das Log drüber zu schauen.

Es wäre echt super lieb von Euch, denn ich bin mir echt nicht sicher, ob jetzt wirklich alles in Ordnung ist. Meine Schwester braucht ihren Laptop dienstlich und ist ohne ihn echt aufgeschmissen.

Vielen Dank für Eure Unterstützung
Claudia

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Schrauber,

leider kann ich erst jetzt die Scanergebnisse posten. Ich hoffe nur, es ist alles in Ordnung.

Vielen Dank für Deine Hilfe
Liebe Grüße
Claudia

Logs bitte wie oben beschrieben in Codetags in den Thread posten.

Hallo Schrauber,
bin wohl zu blind gewesen. Hier also der richtige Datenpost

- FRST.txt


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


- Addition.txt

Ich hoffe, jetzt kannst Du alles lesen.

Nochmals vielen Dank und
viele Grüße

Claudia

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Schrauber,

habe meine Schwester erreicht (ist nicht so einfach - sie lebt weiter weg :-( )

Hier die Log-Datei von ComboFix:


Ich hoffe, Sie ist aussagekräftig!

Nochmals vielen lieben Dank für Deine Unterstützung
Liebe Grüße
Claudia

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

und ein frisches FRST log bitte :)

Hallo Schrauber,

leider konnten wir erst heute die gewünschten Scans durchführen.

AdwCleaner[S2].txt:

mbam-log-2013-08-06 (11-24-42).txt:

FRSTneu.txt:


FRST Logfile:
--- --- ---


Meine Schwester erzählte mir, daß diesmal keine Addition.txt entstanden ist.

Viele Grüße und vielen Dank für Deine Unterstützung!
Claudia

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo Schrauber,

meine Schwester SecurityCheck und FRST durchgeführt.

SecurityCheck:
FRST:

FRST Logfile:
--- --- ---


Zu dem OnlineCheck - den trauen wir uns nicht durchzuführen. Ist das denn sicher, wenn wir die Anti-Virus-Programme und die Firewall dabei deaktivieren?

Ich habe noch eine Frage. Mir ist nicht ganz klar, ob Du noch Probleme siehst, da meine Schwester keine Meldungen mehr auf dem Laptop hat. Er funktioniert ohne Probleme. (Ich hatte mich ja aus Unsicherheit, ob wirklich wieder alles in Ordnung ist, an das Board gewandt). Hast Du in unseren Logs noch Hinweise auf irgendwelche Schadsoftware gefunden?

Viele Grüße
Claudia

Nein, nur en paar Reste noch, aber der Onlineacan muss sein zur Absicherung. Lass die Firewall an, nur AV abschalten, mach in der Zeit des Scans nix an dem Rechner, dann passt das schon :)

Hallo Schrauber,

ok, Danke! Dann bin ich ja beruhigt. Meine Schwester wird es am Sonntag oder Montag erledigen. Sie ist momentan unterwegs.

Bis dann am Sonntag oder Montag mit den (hoffentlich) letzten Ergebnissen ;-)

Viele Grüße
Claudia

ok :)

Hallo Schrauber,

meine Schwester wollte mit großen Widerwillen, da wir dem Frieden (ohne Virenscanner) nicht trauen, den OnlineScan durchführen. Aber es gibt Probleme beim Update - das Tool will einen Proxy haben. Nur, daß meine Schwester gar keinen Proxy nutzt! Es funktioniert also nicht.
Woran kann das hängen? Ich habe das Problem nicht.

Wäre es schlimm, wenn der OnlineScan nicht durchgeführt wird?

Viele Grüße
Claudia

P.S. Meine Schwester und ich verstehen Deine Worte unterschiedlich. Sie meint, daß Du mit Rest, weitere Scans meinst, ich dagegen Reste vom Trojanerbefall. Was ist nun richtig?