Vista-Befall mit Trojan:Win32\Necurs.A und PUP.OfferBundler.ST
 

Liebe Experten vom Trojaner-Board,

vorgestern hab ich mir zum ersten Mal einen Trojaner eingefangen, und bin zugegeben nicht der Held am PC... Habe auch bisher keinen Aufwand getrieben, den PC besser als mit dem mitgelieferten Standard-Tool zu schützen, noch irgendwelche Backups o.ä. gemacht *schäm*

Und so ist es passiert: auf einer nicht mehr gepflegten Koiteich-Seite kam plötzlich eine Meldung, ob ich eine Ausführung zulassen will (glaube ich jedenfalls), denn es kamen zig solche Fenster hoch, so schnell konnte ich sie fast gar nicht wegklicken (natürlich mit verweigern). Auf einmal hat es aufgehört, im Hintergrund hat Security Essentials (einziger Virenscanner) die syshost.exe in Quarantäne geschoben. Danach habe ich keine weitere Beeinträchtigung festgestellt, außer den gewohnten Zicken des PCs;-)

Nachts habe ich einen vollständigen Scan mit Security Essentials laufen lassen, tatsächlich gab es mehrere Funde.

außerdem wurden Prozess-IDs genannt:

Ich befürchte aber, daß ich das mit dem Virenprogramm nicht zuverlässig/vollständig enfernen kann, und möchte auch sichergehen, daß nicht noch was anderes Schädliches unterwegs ist. Bin daher sehr froh, daß ich im Netz auf Eure Seite gestoßen bin, und bitte Euch um Eure Unterstützung! Hier kommen also die Logfiles:

defogger (es kam ein 2.mal das Fenster mit Disable/Enable, habe es aber nicht mehr angeklickt)

FRST

Addition

GMER

Dann habe ich schonmal Malwarebytes runtergeladen und laufen lassen:

Uff, das wars fürs erste! :-)

An dieser Stelle möchte ich Euch ein Riesen-Lob für die tollen Anleitungen aussprechen!! Alles ist ausführlich Schritt für Schritt beschrieben, so was habe ich noch nie vorher gesehen! Damit konnte sogar ich (!) alle gewünschten Logfiles erzeugen und hier einstellen;-)

Ich hoffe, Ihr könnt daraus erkennen, was bei mir alles befallen ist, und mir helfen, es wieder loszuwerden!

Schonmal besten Dank im voraus & viele Grüße,

Catrin

:hallo:

Mein Name ist Sandra, ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo -Katinka,

Schritt 1
Bitte deinstalliere folgendes Programm:
Java(TM) 6 Update 7
Dazu gehe auf
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> suche das Programm in der Liste --> entfernen

Schritt 2
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

vielen Dank für die schnelle Unterstützung:-)
So, JavaScript (TM) 6 Update 7 ist deinstalliert, und hier kommen noch die Logfiles:

Fixlog:

FRST:


FRST Logfile:
--- --- ---


Viele Grüße,
Catrin

Hallo Catrin,

Immer gerne. :)


Das sieht besser aus, hast du noch Probleme mit dem Rechner?

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hallo Sandra,

prima, dann sind wir ja auf einem guten Weg:-)

Hatte eigentlich seitdem keine vermehrten Probleme festgestellt, hatte den Rechner seither auch nicht runtergefahren (aus Angst, daß die Schadsoftware nach Neustart erst recht aktiv wird), und WLAN immer deaktiviert, wenn ich es nicht brauche.

Allerdings macht mir eine Sache unverändert zu schaffen, die ich aber nie mit sowas in Zusammenhang gebracht hab: der Ton beim Skype ist seit einigen Wochen fast die Hälfte des Gesprächs abgehackt, so daß ich mir keinen Sinn erschließen kann, oder fehlt z.T. ganz. Dabei ist das Video hervorragend, man sieht fließend die Lippenbewegungen, aber der Ton fehlt. Und auf der Gegenseite bin ich problemlos zu hören. Dabei skypen wir seit fast 4J 5x/Woche, sowas hatten wir noch nie;-( Habe schon alle unnötige Software aus, sogar Prozesse deaktiviert, die ständig etwas Speicher brauchen (Verbesserung der Tonqualität), aber es hilft nichts. Ich will noch ausprobieren, ob es auch auftritt, wenn wir hier im Haus skypen.

Und daß mir der Firefox seit Sommer meist beim Öffnen eines pdf abstürzt, damit hab ich mich schon arrangiert (nehme zum Öffnen einen anderen Browser), aber seit ein paar Wochen kommt zusätzlich immer eine Absturzmeldung, wenn ich ihn eh schließe. Ich weiß schon, der Browser ist total veraltet, bin aber nicht sicher, welche Browser/Version für Vista die beste ist und mir nicht zuviel Arbeitsspeicher etc. frißt. Die neuen sind da wahrscheinlich der Overkill;-)

Hier kommt nun der 3.Versuch einer Antwort:-) Die erste war weg, als ich auf "bebildert" geklickt hab (hätte es schlauerweise besser in einem neuen Tab angeschaut:-D).
Nach dem ESET scan (hatte das logfile hier bereits reinkopiert, 1 Fund) hab ich das Programm dann deinstalliert hab und wollte es aus C löschen, aber er hat mir keinen Zugriff gestattet, dachte ich muß es als Admin machen, aber dann hat mich der PC abgemeldet und dabei den Browser geschlossen:-o Das Logfile ist natürlich weg, ich muß den Scan also nochmal machen.

Lieber schicke ich die Antworten ab jetzt stückweise:-) Hier also Teil1:

Fixlog:
Nach dem Neustart konnte ich ESET übrigens löschen. Ich lade es gleich nochmal runter und lasse es laufen, während ich in der Arbeit bin. Melde mich heut abend wieder.

Bis dahin viele Grüße und einen schönen Tag,
Catrin

Ok, dann bis heute abend. :) Und schicke die Antworten ruhig in einem, das macht das ganze übersichtlicher ;).

Alles klar, dann mache ich es weiter auf einmal. Falls der Rechner mich nochmal zwischendurch abmeldet, hab ich das log.file diesmal vorsorglich gesichert;-) Und sorry, wollte Dir nicht mehr Arbeit machen als unbedingt nötig:-)

ESET:

OK, diesmal ging das Deinstallieren problemlos.:daumenhoc Soll ich eigentlich auch die esetsmartinstaller_enu.exe löschen?

FRST:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

[/CODE]

Addition:

Viele Grüße
Catrin

Hallo Catrin,

hast du dazu schon mal auf der Skype Supportseite nach einer Lösung gesucht?

Ja, dein Browser ist wahnsinnig veraltet, dein pdf-reader allerdings auch ;). Dabei ist es sehr wichtig, dass beides auf dem neuesten Stand ist. Alte Browser enthalten Schadstellen, die von Malware ausgenutzt wird und sind somit ein Sicherheitsrisiko. Ich gebe dir gleich noch einige Tipps dazu.

Wenn du ESET nicht mehr brauchst, kannst du die löschen, ja.

Der Fund von ESET ist in der Quarantäne von FRST, den löschen wir jetzt gleich :)
>OK<

So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.

Schritt 1
Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren.
Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen.

Schritt 2
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Updates / Programme aktualisieren

• Adobe Reader

Deinstalliere Deinen Reader und lade Dir die neueste Version von hier herunter. Entferne den Haken bei McAfee Security Plus

• FlashPlayer

Deine FlashPlayer für Firefox und den Internet Explorer sind nicht mehr aktuell.

• Deinstalliere die alten Versionen.
• Öffne nacheinander mit beiden Browsern folgenden Link Adobe - Adobe Flash Player installieren und lade Dir von dort die neueste Version herunter.
• Entferne den Haken bei McAfee Security Plus.

Aktualisierung einstellen
Stelle sicher, dass dein FlashPlayer nach Updates sucht. Den FlashPlayer kann man direkt bei der Installation so konfigurieren, dass er nach Updates automatisch sucht, nachträglich kann man das über folgenden Link machen:
Adobe - Flash Player: Einstellungsmanager - Globale Benachrichtigungseinstellungen

• Java

Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren.
Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren.

Windows XP
Gehe auf:
Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen
Windows Vista
Gehe auf:
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen
Windows 7
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Javaversionen auswählen --> entfernen
Windows 8
Dazu drücke auf:
Windowstaste und X
dann:
Programme und Funktionen -->Javaversionen auswählen --> entfernen

Falls du Java doch unbedingt benötigst, dann

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 45 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.

und sorge dafür, dass Java automatisch updated.
Dazu:

• öffne Java
• klicke auf den Reiter Update
• klicke auf: Benachrichtung ausgeben: Vor dem Download setze den Haken bei Automatisch nach Updates suchen
• klicke auf Erweitert
• ändere das Intervall mindestens auf wöchentlich

und schalte das Browser-Plugin aus.
Hier findest du eine Anleitung dazu.

• Mozilla Firefox

Lade dir bitte von hier den aktuellen Firefox herunter.

Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.

Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.

Antivirensoftware

• Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.

Zusätzlicher Schutz

• MalwareBytes Anti-Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
  Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu TFC
Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.

Verhaltensregeln zum sichereren Surfen

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.

Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.

Hallo Sandra,

bzgl Skype: ja, ich war schonmal auf diesen Seiten, aber der Support geht leider nur auf Probleme bei komplett fehlendem Ton ein, und in der Community bleiben die Beiträge meist unbeantwortet (wobei manche Leute ähnliche Probleme haben).
Ich hoffe, daß es irgendwie am Rechner meines Partners liegt und sich das Problem erledigt, wenn er demnächst seinen Win 8 bekommt. Gestern konnten wir eine ganze Weile problemlos skypen, bevor es dann wieder losging, sogar mehr als 45min! :-) Skypen im Haus probieren wir am WE aus.

Alles klar, dann wollen wir mal kein weiteres Risko eingehen!! :-D
Firefox ist jetzt up-to-date, und auch alle anderen Programme, die Du mir genannt hast.

Mensch, das ist ja super wenn ich jetzt wirklich "clean" bin, da fällt mir ein richtiger Stein vom Herzen:-) Was hätte ich bloß ohne Dich gemacht, vielen herzlichen Dank!!! :-* Die beiden Links in Deinem letzten Post werde ich mir mit Sicherheit näher anschauen!;-)

Und danke auch für die vielen hilfreichen Tips bzgl. Updates, Browser, sicherem Surfen etc., werde ich alles beherzigen. Hoffe, Ihr seht mich somit hier so schnell nicht wieder;-)

Bevor Du mich aber aus Deinem Abo löscht, hätte ich noch eine Frage, oder eigentlich zwei:

Bzgl TFC, ich wollte es installieren, aber dazu ist Java Script nötig, sagt mir FilePony, daher ist kein Download möglich. Ist es das Programm wert (ich nehme mal an)? Dann würde ich Java trotzdem installieren. Keine Ahnung, wozu man das sonst noch alles braucht... Oder gibt es ein alternatives Programm ohne Java?

Und bzgl. meiner Sicherheitssoftware, ist die eingebaute auch die beste oder empfiehlt Ihr was anderes? Ich frag mich schon, wozu ich eine Firewall hab, wenn sowas trotzdem durchkommt. Warum merkt die das nicht, bzw. welches Programm hätte das verhindert?

Würde mich freuen, wenn Du noch ein paar Worte dazu sagen kannst.

Schonmal danke & viele Grüße
Catrin

Hallo Catrin,

Ja, du kannst auch einfach das eingebaute Datenträgerbereinigungstool von Windows verwenden. Das geht wie folgt:
Datenträgerbereinigung mit Windows
Hier findest du eine Anleitung dazu.
Wichtig! Setze den Haken bei Temporäre Dateien

Es ist ein Trugschluss zu denken, wenn man ein Antivirenprogramm und eine aktive Firewall hat, ist man geschützt und es kann einem nichts mehr passieren. Es kommen pro Tag mehrere Tausend neue Malwaresamples auf den Markt. Kein Antivirenprogramm erkennt sofort alles, das ist unmöglich.
Eine gewisse Vorsicht ist im Internet immer zu empfehlen, dazu gehört:

• ein aktuelles Betriebssystem mit den neuesten Updates
• aktueller Flash Player, pdf-reader
• Java nur, wenn es unbedingt notwendig ist (siehe auch Unterpunkt Java in Updates / Programme aktualisieren)
• genau gucken, auf welchen Downloadlink man klickt und was einem noch zusätzlich zum Download alles mitinstalliert werden soll (beliebt sind hier z.B. Gratisbeigaben von Tools)
• sehr vorsichtig sein mit aufpoppenden Fenstern im Webbrowser die einem weismachen wollen, der PC sei gefährdet, es wurde Schadsoftware gefunden oder sie hätten das ultimative Tool für einen perfekt optimierten Rechner zum Download
• keine unbekannten Emailanhänge öffnen, keine Anhänge mit .zip endung öffnen.
• in Chats keine suspekten Dateien annehmen, mit Links vorsichtig sein

Ich presönlcih finde Avast! ganz gut, das gibt es auch in der Freeversion.

Hallo Sandra,

alles klar, hab bereits die Bereinigung durchgeführt. :daumenhoc

Vielen Dank auch für die Erläuterung zu Virenscanner und Firewall. Leuchtet ein, daß man dann nie 100% sicher sein kann. Werde die Sicherheitratschläge auf jeden Fall beherzigen!
Und danke auch für den Virenscanner-Tip, schau ich mir gleich mal an.

Also, dann verabschiede ich mich hiermit aus diesem Thema (nicht ohne vorher die 2 Links zu besuchen;)) und bedanke mich nochmal gaaaaaaaaaanz herzlich bei Dir! :knuddel:

Liebe Grüße
Catrin

Hallo -Katinka,

gern geschehen und vielen Dank für deine Rückmeldung und dein Lob :)

Dieses Thema scheint erledigt und wird aus meinen Abonnements gelöscht, somit bekomme ich keine Benachrichtigungen mehr über neue Antworten.
Solltest Du noch Fragen oder Probleme haben, so schicke mir bitte eine PM