![]() |
Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7 Liebes Trojaner-Board Team! Mein Rechner wurde, vermutlich durch eine mit Schadsoftware befallene Internetseite, mit Malware infiziert. Aufmerksam wurde ich durch eine E-Mail vom Abuse Team der Telekom, dass von meinem Internetanschluss SPAM Mails versendet würden. Der Befall bestätigte sich durch ein Scan mit der unter Windows 7 vorhandenen Software Windows Defender: "Auf dem Computer wurden Programme gefunden, die Ihre Privatshpäre gefährden oder den Computer schädigen können. Warnstufe: Schwerwiegend/Hoch. Zu meiner Schande muss ich gestehen, dass weder das Betriebssystem noch diverse Programme (ich bin sicher, ihr werdet sie alle finden ;-) wie auch der IE nicht "aktuell" sind. Bisher war ich der Meinung, dass eine Portion gesunder Menschenverstand und aktuelle Virensignaturen beim Surfen im Internet ausreichend schützen. Manchmal muss man seine Meinung ändern. Wieder was gelernt! Auch ein Backup zu haben ist sicher nicht schlecht. Aber es nützt wenig, wenn es zu alt ist: Noch was gelernt! Eine erste Schnellüberprüfung des Systems meldete einen Befall mit Trojan:Win32/Necurs.A. Da ich nicht alles falsch machen und Spuren verwischen wollte, habe ich zunächst versucht, den Schädling unter Quarantäne zu stellen. Zugegeben mit begrenztem Erfolg: Fehler Code 0x8007054f. Interner Fehler. Alles klar? Naja, dann versuche ich halt ihn zu entfernen, dachte ich mir. Zunächst machte ich jedoch einen zweiten Scan, da ich noch nicht so ganz an einen erfolglosen ersten Versuch glauben konnte, oder sagen wir lieber wollte. Das Ergebnis eines zweiten Schnellscans: Befall mit Trojan:Win32/Necurs.A (leider immer noch da) und Trojan:WinNT/Necurs.A auch mit Warnstufe Schwerwiegend/Hoch. Diesmal hatte ich weniger Geduld und versuchte, beide Schädlinge zu entfernen. Windows Defender meldete den Status "Erfolgreich" für WinNT/Necurs.A, jedoch für Win32/Necurs.A mit Status "Fehlerhaft" den zweiten erfolglosen Versuch. Es folgte der Hinweis: "Der Computer muss neu gestartet werden um das entfernen von Spyware und anderer unerwünschter Software abzuschließen." Bevor ich das tat, fragte ich mich, warum G Data InternetSecurity den Befall eigentlich nicht gemeldet hatte? Ich ahnte Schlimmes und versuchte, es zu starten. Der Splash blieb zunächst beim Initialisieren hängen, bevor G Data AntiVirus sich nach einigen Minuten Wartezeit mit dem Hinweis meldete: "G Data Antivirus kann nicht gestartet werden, weil nicht alle Komponenten initialisiert werden konnten. Bitte starten Sie den Rechner neu." Ich bestätigte mit "OK" und erhielt eine weitere Meldung: "Die RootKit-Prüfung kann nicht mit eingeschränkten Berechtigungen durchgeführt werden." Aha, so ist das also. Mit einem zugegeben etwas unguten Gefühl startete ich meinen Rechner neu. Dieser bootete träger als sonst und startete mit einem Programm "Systemstartreparatur" und dem Hinweis: "Der Computer konnte nicht gestartet werden. Starthilfe überprüft, ob im System Probleme vorliegen." Für mich begannen bange Minuten, die scheinbar nicht enden wollten. Nach ca. 30 Minuten Wartezeit dann die Bestätigung: "Windows kann diesen Computer nicht automatisch reparieren." Die Diagnose- und Reparatur-Detailinformationen zeigten zum Problemereignis "StartupRepairOffline" einige Problemsignaturen (z.B. 07: CoruptFile) an. Außerdem hieß es: "Wenden Sie sich an den Systemadministrator oder den Computerhersteller, wenn diese Meldung weiterhin angezeigt wird. Klicken Sie auf "Fertig stellen", um den Vorgang zu beenden und den Computer herunterzufahren." Herunterfahren und das war's dann wohl. Ich gab die Hoffnung noch nicht ganz auf und versuchte einen (normalen) Systemstart. Der Rechner begann zu booten, startete sein Betriebssystem und ist seitdem immer noch hochgefahren. Ein erneuter Scan warnte vor den zwei schon bekannten Trojanern. Aufgrund der oben geschilderten Erfahrung beim Systemstart scheue ich mich, den Rechner herunterzufahren und/oder neu zu starten. Um nichts falsches zu tun, möchte ich gerne wissen, was ich tun soll bzw. welche Eurer Anleitungen ich verwenden soll. Auf jeden Fall wird es spätestens jetzt Zeit für professionelle Hilfe. Ich weiß, dass kontrovers darüber diskutiert wird: Wenn möglich würde ich mit Eurer Unterstützung gerne versuchen, das Rootkit erfolgreich zu entfernen, um das System zu erhalten und anschließend sicherer zu machen. Hier noch einige Informationen, die u.U. hilfreich sein können: - Trojan:Win32/Necurs.A C:\Windows\Installer\{49DD8...ABCE}\syshost.exe Dienst: syshost32 - Trojan:WinNT/Necurs.A C:\Windows\System32\Drivers\2af40...d782.sys Probleme mit Nicht-PnP-Treibern? - Regkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32] ImagePath="C:\Windows\Installer\{49DD8...ABCE}\syshost.exe" /service - Ein USB-Stick kann nicht verwendet werden (Treiberproblem ;-) - CD/DVD-Laufwerk ist verfügbar - G Data InternetSecurity ist an der Ausführung verhindert - Zugriff auf bestimmte verdächtige Dateien/Verzeichnisse ist nicht möglich oder erfordert administrative Rechte Die Internetverbindung habe ich vorsichtshalber zunächst temporär deaktiviert. Sofern das Euch weiterhilft, kann ich das Logfile des Windows Defenders posten. Wenn ja, sagt mir bitte, wo ich es finde. Mit anderen Malware-Tools habe ich bisher noch nicht gearbeitet, nehme aber an, es wird nicht mehr lange dauern ... Vielen Dank im Voraus für Eure Unterstützung :-) |
:hallo: Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld :) |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das! :abklatsch:
![]() Achtung: Rootkit-Warnung Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
![]() Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean :daumenhoc bist. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Siehe hier... Ich bedanke mich für Deine Geduld! :) Schritt 1 (Scan mit FRST) Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: ![]() (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Schritt 2 (Scan mit GMER) Bitte lade dir ![]()
![]()
Bitte poste mir in Deiner nächsten Antwort den Inhalt der Logdateien von: - FRST (FRST.txt und Addition.txt) - GMER (Gmer.txt) ![]() Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Jürgen, vielen Dank für Deine Unterstützung. Zu Deiner Frage wg. Rootkit-Warnung: Ja, wir sollten versuchen, zu bereinigen. Ich denke auch: Zusammen schaffen wir das! Es schaut ja auch immer noch einer der Ausbilder mit dabei und kann unterstützen, wenn es drauf ankommt, oder? Es sein denn, Ihr wisst aus Erfahrung, dass bei den (bisher) gefundenen Schädlingen, ein Clean noch nie möglich gewesen ist. Noch ein Hinweis, der hilfreich sein könnte: Bis auf das Thema SPAM ist mir (und nach deren Aussage auch dem Abuse Team der Telekom) kein weiterer Missbrauch bekannt geworden. Da man das aber nie ausschließen kann, habe ich sensible Zugangsdaten, die möglicherweise betroffen sein könnten von einem sauberen System aus geändert. M.E. ist die Infektion am 02.02.14 gewesen, aber warten wir die Logs mal ab. Da ich den Computer z.Zt. nicht im Zugriff habe, melde ich mich wieder, sobald Du mir geantwortet hast und ich loslegen kann. Einige Fragen noch, bevor ich starte: 1. Der Computer ist immer noch hochgefahren (vgl. meine Infos hierzu in meinem letzten Post). Ich starte nicht neu (wenn doch, wie?) und versuche ohne Neustart wie beschrieben mit FRST und GMER zu installieren? 2. Muss bei FRST zunächst auch der Virenscanner (G Data) deaktiviert werden? Wenn ja, muss ich sehen, ob ich das schaffe (läuft ja nicht mehr). 3. Muss nach Ausführen von FRST und vor Ausführen von GMER gebootet werden? Wenn ja, wie? Bzgl. GMER soll ich lt. Anleitung den Virenscanner deaktivieren. Wie und ob das geht, muss ich sehen. Notfalls frage ich vorher nochmal nach und hoffe, wir kriegen das dann gemeinsam hin. 4. Was soll ich mit den Windows 7 Bordmitteln Defender, Firewall und ggf. anderen tun (welche sind das noch?) vor Starten von FRST und GMER? Andere Third-Party Tools habe ich nicht installiert. 5. Wo finde ich im Editor das #-Symbol für's Einfügen der Logs (Will das ja richtig machen)? Bedanke mich auch für Deine Geduld und Lesebereitschaft (meine Posts sind vllt. auch ohne Logs länger als mancher andere ;-) Gruß Jo |
Hallo Jo, gerne beantworte ich Dir Deine Fragen folgendermaßen: ad 1.) Ich verstehe nicht ganz was Du meinst! :confused: Es ist erforderlich, dass Du in normaler und gewohnter Weise Windows starten kannst. Auch solltest Du auf den Desktop gelangen und via Browser aufs Internet zugreifen können. Sollte das nicht möglich sein, teile es mir bitte mit. ad 2.) Es ist ausreichend, wenn GDATA offensichtlich nicht aktiv ist - auch wenn es sich dabei um eine malwarebedingte Nebenwirkung handelt. Es sollte aber gesichert sein, dass jegliche Scandienste inaktiv sind. (Ggf. im Task-Manager nachschauen) ad 3.) NEIN! ad 4.) Hier ist keine Aktion erforderlich. ad 5.) Das Symbol befindet sich in der oberen, rechten Hälfte der Antwortbox hier im Forumsthread. Such mal danach wenn Du mir eine Antwort schreibst. ;) Schau auch nochmal bei meinem Post oben unter Lesestoff. Dort auf dem Bild, der rote Pfeil zeigt auf das Symbol. Kopiere zwischen die beiden Klammer-Gruppen den gesamten Text der Logfiles. Jeder Logfiletext in eine Klammergruppe, damit Du drei Codeboxen erhältst. Code: Hier steht dann der Logfiletext |
Hallo Jürgen, ich habe zunächst mal FRST laufen lassen (ich habe vorher keine Internetverbindung hergestellt) Hier die beiden Logs: FRST.txt FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-03-2014 Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 07-03-2014 Das sieht dann z.B. so aus: C:>sc query gdscan SERVICE_NAME: gdscan TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 Soll ich versuchen, diese Dienste über die Dienstekonsole zu beenden und wenn das nicht funktioniert, die Dienste einfach ignorieren bevor ich mit den Scan per GMER starte? Vielen Dank vorab. Gruß Jo |
Hallo Jo, :daumenhoc hast Du gut gemacht.... Bitte führe den GMER-Scan einfach aus... |
Hallo Jürgen, ich habe alle G Data Dienste so gelassen. Es sind alle anderen Programme geschlossen und keine Internetverbindung hergestellt. Ich bekomme beim Start von GMER eine Fehlermeldung: "Load Driver(C:\Users\JRG~1\AppData\Local\Temp\fwlyapow.sys) error 0xC0000001: Ein an das System angeschlossenes Gerät funktioniert nicht." Ich kann nur mit "OK" bestätigen. Es ist noch ein USB-Stick (ohne Daten) an meinem Computer angeschlossen. Den habe ich seitdem ich die Schadsoftware bemerkt habe angeschlossen gelassen (eigentlich wollte ich auf den Stick seinerzeit noch einige Dateien sichern). Der Zugriff darauf war allerdings nicht möglich (vgl. Mein erster Post, Treiberproblem). Kann die Fehlermeldung damit zusammen hängen? Was soll ich tun? Danke Gruß Jo |
Bestätige und führe den Scan durch. |
Habe mit "OK" bestätigt. GUI von GMER ist jetzt da, allerdings mit Fehlermeldung: C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Habe wieder mit "OK" bestätigt und mit "Scan" versucht, den Scan zu starten. Es erscheint wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Mit "OK" bestätigen bringt diese Meldung noch dreimal. Dann kommt eine Hinweismeldung "GMER hasn't found any System modifications." Mit "OK" bestätigt. Nochmal ein Versuch mit "Scan" zu starten. Dann kommt wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Gleiches Vorgehen wie oben ... Habe GMER beendet. Habe dann mal versucht, auf den config-Ordner unter "C:\Windows\system32" zuzugreifen. Es kommt eine Warnmeldung: "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner." Man könnte zwar auf "Fortsetzen" klicken, aber ich habe es hier mit "Abbrechen" erst mal sein lassen. Was soll ich jetzt tun? Danke und Gruß Jo |
Jo, kein Problem. Breche den GMER-Scan ab. Das Rootkit hat uns lange genug geärgert, jetzt schießen wir zurück. Schritt 1 (Necurs-Cleaner) Lade Dir bitte von hier den Necurs-Cleaner herunter. Starte ihn und drücke "Y" wenn Du gefragt wirst Zitat:
Poste mir den Inhalt des ESETNecursCleaner.exe_***.log Wie verhält sich der Rechner jetzt? |
Hallo Jürgen! Sorry, hatte Deine Nachricht zu spät gelesen. Geht aber jetzt weiter mit ESET Necurs-Cleaner. Muss die exe nur noch ausführen. Ist vorher sonst noch was spezielles zu beachten (Scan-Dienste, Internetverbindung etc.)? |
Nein, Feuer frei! ;) |
Habe das so gemacht. Win32/Necurs gefunden und removed. Neustart. Die ESETNecursCleaner.exe_***.log will zum Öffnen ein Kennwort. Kennst Du es? Achso, noch was: Gerade meldet Windows Defender den Fund von Trojan:Win32/Necurs.A Habe mal vorab zwei Sachen angeschaut: Der verdächtige Dienst "syshost32" ist im Taskmanager immer noch vorhanden (Status: "Wird ausgeführt"). Auf den USB-Stick kann ich aber jetzt wieder zugreifen :-) |
Bekommen wir schon hin Jo! ;) Starte jetzt nochmal FRST. Ändere keine der Checkboxen und klicke auf Scan. Die Logdatei wird nun erstellt und befindet sich danach im gleichen Verzeichnis wie FRST. Poste mir bitte den Inhalt der FRST.txt in deinen Thread (#-Symbol im Eingabefenster der Webseite anklicken). |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board