Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7
 

Liebes Trojaner-Board Team!

Mein Rechner wurde, vermutlich durch eine mit Schadsoftware befallene Internetseite, mit Malware infiziert. Aufmerksam wurde ich durch eine E-Mail vom Abuse Team der Telekom, dass von meinem Internetanschluss SPAM Mails versendet würden. Der Befall bestätigte sich durch ein Scan mit der unter Windows 7 vorhandenen Software Windows Defender: "Auf dem Computer wurden Programme gefunden, die Ihre Privatshpäre gefährden oder den Computer schädigen können. Warnstufe: Schwerwiegend/Hoch. Zu meiner Schande muss ich gestehen, dass weder das Betriebssystem noch diverse Programme (ich bin sicher, ihr werdet sie alle finden ;-) wie auch der IE nicht "aktuell" sind. Bisher war ich der Meinung, dass eine Portion gesunder Menschenverstand und aktuelle Virensignaturen beim Surfen im Internet ausreichend schützen. Manchmal muss man seine Meinung ändern. Wieder was gelernt! Auch ein Backup zu haben ist sicher nicht schlecht. Aber es nützt wenig, wenn es zu alt ist: Noch was gelernt!

Eine erste Schnellüberprüfung des Systems meldete einen Befall mit Trojan:Win32/Necurs.A. Da ich nicht alles falsch machen und Spuren verwischen wollte, habe ich zunächst versucht, den Schädling unter Quarantäne zu stellen. Zugegeben mit begrenztem Erfolg: Fehler Code 0x8007054f. Interner Fehler. Alles klar? Naja, dann versuche ich halt ihn zu entfernen, dachte ich mir. Zunächst machte ich jedoch einen zweiten Scan, da ich noch nicht so ganz an einen erfolglosen ersten Versuch glauben konnte, oder sagen wir lieber wollte. Das Ergebnis eines zweiten Schnellscans: Befall mit Trojan:Win32/Necurs.A (leider immer noch da) und Trojan:WinNT/Necurs.A auch mit Warnstufe Schwerwiegend/Hoch. Diesmal hatte ich weniger Geduld und versuchte, beide Schädlinge zu entfernen. Windows Defender meldete den Status "Erfolgreich" für WinNT/Necurs.A, jedoch für Win32/Necurs.A mit Status "Fehlerhaft" den zweiten erfolglosen Versuch. Es folgte der Hinweis: "Der Computer muss neu gestartet werden um das entfernen von Spyware und anderer unerwünschter Software abzuschließen."

Bevor ich das tat, fragte ich mich, warum G Data InternetSecurity den Befall eigentlich nicht gemeldet hatte? Ich ahnte Schlimmes und versuchte, es zu starten. Der Splash blieb zunächst beim Initialisieren hängen, bevor G Data AntiVirus sich nach einigen Minuten Wartezeit mit dem Hinweis meldete: "G Data Antivirus kann nicht gestartet werden, weil nicht alle Komponenten initialisiert werden konnten. Bitte starten Sie den Rechner neu." Ich bestätigte mit "OK" und erhielt eine weitere Meldung: "Die RootKit-Prüfung kann nicht mit eingeschränkten Berechtigungen durchgeführt werden." Aha, so ist das also.

Mit einem zugegeben etwas unguten Gefühl startete ich meinen Rechner neu. Dieser bootete träger als sonst und startete mit einem Programm "Systemstartreparatur" und dem Hinweis: "Der Computer konnte nicht gestartet werden. Starthilfe überprüft, ob im System Probleme vorliegen." Für mich begannen bange Minuten, die scheinbar nicht enden wollten. Nach ca. 30 Minuten Wartezeit dann die Bestätigung: "Windows kann diesen Computer nicht automatisch reparieren." Die Diagnose- und Reparatur-Detailinformationen zeigten zum Problemereignis "StartupRepairOffline" einige Problemsignaturen (z.B. 07: CoruptFile) an. Außerdem hieß es: "Wenden Sie sich an den Systemadministrator oder den Computerhersteller, wenn diese Meldung weiterhin angezeigt wird. Klicken Sie auf "Fertig stellen", um den Vorgang zu beenden und den Computer herunterzufahren." Herunterfahren und das war's dann wohl.

Ich gab die Hoffnung noch nicht ganz auf und versuchte einen (normalen) Systemstart. Der Rechner begann zu booten, startete sein Betriebssystem und ist seitdem immer noch hochgefahren. Ein erneuter Scan warnte vor den zwei schon bekannten Trojanern.

Aufgrund der oben geschilderten Erfahrung beim Systemstart scheue ich mich, den Rechner herunterzufahren und/oder neu zu starten. Um nichts falsches zu tun, möchte ich gerne wissen, was ich tun soll bzw. welche Eurer Anleitungen ich verwenden soll. Auf jeden Fall wird es spätestens jetzt Zeit für professionelle Hilfe. Ich weiß, dass kontrovers darüber diskutiert wird: Wenn möglich würde ich mit Eurer Unterstützung gerne versuchen, das Rootkit erfolgreich zu entfernen, um das System zu erhalten und anschließend sicherer zu machen.

Hier noch einige Informationen, die u.U. hilfreich sein können:

- Trojan:Win32/Necurs.A C:\Windows\Installer\{49DD8...ABCE}\syshost.exe Dienst: syshost32
- Trojan:WinNT/Necurs.A C:\Windows\System32\Drivers\2af40...d782.sys Probleme mit Nicht-PnP-Treibern?
- Regkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32] ImagePath="C:\Windows\Installer\{49DD8...ABCE}\syshost.exe" /service
- Ein USB-Stick kann nicht verwendet werden (Treiberproblem ;-)
- CD/DVD-Laufwerk ist verfügbar
- G Data InternetSecurity ist an der Ausführung verhindert
- Zugriff auf bestimmte verdächtige Dateien/Verzeichnisse ist nicht möglich oder erfordert administrative Rechte

Die Internetverbindung habe ich vorsichtshalber zunächst temporär deaktiviert.

Sofern das Euch weiterhilft, kann ich das Logfile des Windows Defenders posten. Wenn ja, sagt mir bitte, wo ich es finde. Mit anderen Malware-Tools habe ich bisher noch nicht gearbeitet, nehme aber an, es wird nicht mehr lange dauern ...

Vielen Dank im Voraus für Eure Unterstützung :-)

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das! :abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Toosl auf dem Desktop ab.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Schritt 1 (Scan mit FRST)
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2 (Scan mit GMER)
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!




Bitte poste mir in Deiner nächsten Antwort den Inhalt der Logdateien von:
- FRST (FRST.txt und Addition.txt)
- GMER (Gmer.txt)

Hallo Jürgen,

vielen Dank für Deine Unterstützung. Zu Deiner Frage wg. Rootkit-Warnung:

Ja, wir sollten versuchen, zu bereinigen. Ich denke auch: Zusammen schaffen wir das! Es schaut ja auch immer noch einer der Ausbilder mit dabei und kann unterstützen, wenn es drauf ankommt, oder?

Es sein denn, Ihr wisst aus Erfahrung, dass bei den (bisher) gefundenen Schädlingen, ein Clean noch nie möglich gewesen ist. Noch ein Hinweis, der hilfreich sein könnte: Bis auf das Thema SPAM ist mir (und nach deren Aussage auch dem Abuse Team der Telekom) kein weiterer Missbrauch bekannt geworden. Da man das aber nie ausschließen kann, habe ich sensible Zugangsdaten, die möglicherweise betroffen sein könnten von einem sauberen System aus geändert. M.E. ist die Infektion am 02.02.14 gewesen, aber warten wir die Logs mal ab.

Da ich den Computer z.Zt. nicht im Zugriff habe, melde ich mich wieder, sobald Du mir geantwortet hast und ich loslegen kann.

Einige Fragen noch, bevor ich starte:

1. Der Computer ist immer noch hochgefahren (vgl. meine Infos hierzu in meinem letzten Post). Ich starte nicht neu (wenn doch, wie?) und versuche ohne Neustart wie beschrieben mit FRST und GMER zu installieren?

2. Muss bei FRST zunächst auch der Virenscanner (G Data) deaktiviert werden? Wenn ja, muss ich sehen, ob ich das schaffe (läuft ja nicht mehr).

3. Muss nach Ausführen von FRST und vor Ausführen von GMER gebootet werden? Wenn ja, wie? Bzgl. GMER soll ich lt. Anleitung den Virenscanner deaktivieren. Wie und ob das geht, muss ich sehen. Notfalls frage ich vorher nochmal nach und hoffe, wir kriegen das dann gemeinsam hin.

4. Was soll ich mit den Windows 7 Bordmitteln Defender, Firewall und ggf. anderen tun (welche sind das noch?) vor Starten von FRST und GMER? Andere Third-Party Tools habe ich nicht installiert.

5. Wo finde ich im Editor das #-Symbol für's Einfügen der Logs (Will das ja richtig machen)?

Bedanke mich auch für Deine Geduld und Lesebereitschaft (meine Posts sind vllt. auch ohne Logs länger als mancher andere ;-)

Gruß Jo

Hallo Jo,
gerne beantworte ich Dir Deine Fragen folgendermaßen:

ad 1.)
Ich verstehe nicht ganz was Du meinst! :confused:
Es ist erforderlich, dass Du in normaler und gewohnter Weise Windows starten kannst.
Auch solltest Du auf den Desktop gelangen und via Browser aufs Internet zugreifen können.
Sollte das nicht möglich sein, teile es mir bitte mit.

ad 2.)
Es ist ausreichend, wenn GDATA offensichtlich nicht aktiv ist - auch wenn es sich dabei um eine malwarebedingte Nebenwirkung handelt. Es sollte aber gesichert sein, dass jegliche Scandienste inaktiv sind. (Ggf. im Task-Manager nachschauen)

ad 3.)
NEIN!

ad 4.)
Hier ist keine Aktion erforderlich.

ad 5.)
Das Symbol befindet sich in der oberen, rechten Hälfte der Antwortbox hier im Forumsthread. Such mal danach wenn Du mir eine Antwort schreibst. ;)
Schau auch nochmal bei meinem Post oben unter Lesestoff. Dort auf dem Bild, der rote Pfeil zeigt auf das Symbol.
Kopiere zwischen die beiden Klammer-Gruppen den gesamten Text der Logfiles. Jeder Logfiletext in eine Klammergruppe, damit Du drei Codeboxen erhältst.
Durch Strg+A, Strg+C, Strg+V oder eben über das Kontextmenü der rechten Maustaste. Drücke im Threadfenster unten auf Vorschau bevor Du antwortest um zu prüfen ob alles OK ist.

Hallo Jürgen,

ich habe zunächst mal FRST laufen lassen (ich habe vorher keine Internetverbindung hergestellt) Hier die beiden Logs:

FRST.txt


FRST Logfile:
--- --- ---


Addition.txt

Zur Vorbereitung von Schritt "Scan mit GMER": Die G Data GUI funktioniert ja wie gesagt nicht. Es sind laut Dienstekonsole einige G Data Dienste gestartet, die m.E. mit Scanvorgängen zu tun haben könnten: z.B. G Data Scanner = GDScan, G Data Dateisystem Wächter = AVKWCtl, G Data AntiVirus Proxy = AVKProxy. Ich habe deren Eigenschaften mal mit sc query <Dienstname> mal abgefragt.

Das sieht dann z.B. so aus:

C:>sc query gdscan

SERVICE_NAME: gdscan
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Soll ich versuchen, diese Dienste über die Dienstekonsole zu beenden und wenn das nicht funktioniert, die Dienste einfach ignorieren bevor ich mit den Scan per GMER starte?

Vielen Dank vorab.
Gruß Jo

Hallo Jo,
:daumenhoc hast Du gut gemacht....

Bitte führe den GMER-Scan einfach aus...

Hallo Jürgen,

ich habe alle G Data Dienste so gelassen. Es sind alle anderen Programme geschlossen und keine Internetverbindung hergestellt. Ich bekomme beim Start von GMER eine Fehlermeldung:

"Load Driver(C:\Users\JRG~1\AppData\Local\Temp\fwlyapow.sys) error 0xC0000001: Ein an das System angeschlossenes Gerät funktioniert nicht."

Ich kann nur mit "OK" bestätigen.

Es ist noch ein USB-Stick (ohne Daten) an meinem Computer angeschlossen. Den habe ich seitdem ich die Schadsoftware bemerkt habe angeschlossen gelassen (eigentlich wollte ich auf den Stick seinerzeit noch einige Dateien sichern). Der Zugriff darauf war allerdings nicht möglich (vgl. Mein erster Post, Treiberproblem). Kann die Fehlermeldung damit zusammen hängen?

Was soll ich tun? Danke

Gruß Jo

Bestätige und führe den Scan durch.

Habe mit "OK" bestätigt. GUI von GMER ist jetzt da, allerdings mit Fehlermeldung:

C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Habe wieder mit "OK" bestätigt und mit "Scan" versucht, den Scan zu starten.

Es erscheint wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Mit "OK" bestätigen bringt diese Meldung noch dreimal.

Dann kommt eine Hinweismeldung "GMER hasn't found any System modifications." Mit "OK" bestätigt.

Nochmal ein Versuch mit "Scan" zu starten. Dann kommt wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Gleiches Vorgehen wie oben ...

Habe GMER beendet.

Habe dann mal versucht, auf den config-Ordner unter "C:\Windows\system32" zuzugreifen. Es kommt eine Warnmeldung: "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner." Man könnte zwar auf "Fortsetzen" klicken, aber ich habe es hier mit "Abbrechen" erst mal sein lassen.

Was soll ich jetzt tun?

Danke und Gruß
Jo

Jo, kein Problem. Breche den GMER-Scan ab.

Das Rootkit hat uns lange genug geärgert, jetzt schießen wir zurück.

Schritt 1 (Necurs-Cleaner)
Lade Dir bitte von hier den Necurs-Cleaner herunter.
Starte ihn und drücke "Y" wenn Du gefragt wirst
Wenn das Rootkit entfernt wurde, bestätige die Meldung zum Reboot.
Poste mir den Inhalt des ESETNecursCleaner.exe_***.log

Wie verhält sich der Rechner jetzt?

Hallo Jürgen!

Sorry, hatte Deine Nachricht zu spät gelesen. Geht aber jetzt weiter mit ESET Necurs-Cleaner. Muss die exe nur noch ausführen. Ist vorher sonst noch was spezielles zu beachten (Scan-Dienste, Internetverbindung etc.)?

Nein, Feuer frei! ;)

Habe das so gemacht. Win32/Necurs gefunden und removed. Neustart. Die ESETNecursCleaner.exe_***.log will zum Öffnen ein Kennwort. Kennst Du es?

Achso, noch was: Gerade meldet Windows Defender den Fund von Trojan:Win32/Necurs.A

Habe mal vorab zwei Sachen angeschaut: Der verdächtige Dienst "syshost32" ist im Taskmanager immer noch vorhanden (Status: "Wird ausgeführt"). Auf den USB-Stick kann ich aber jetzt wieder zugreifen :-)

Bekommen wir schon hin Jo! ;)

Starte jetzt nochmal FRST.
Ändere keine der Checkboxen und klicke auf Scan.
Die Logdatei wird nun erstellt und befindet sich danach im gleichen Verzeichnis wie FRST.
Poste mir bitte den Inhalt der FRST.txt in deinen Thread (#-Symbol im Eingabefenster der Webseite anklicken).

Habe das FRST-Log auf dem (noch :-) infizierten Rechner und bin gerade dabei es zu posten, da ...

lebt G Data wieder und meldet mit syshost.exe ein vermutlich bösartiges Programm und schlägt die Entfernung vor. Seitdem es versucht, auch noch aktuelle Signaturen zu laden (was ja eigentlich richtig ist), ich das aber erstmal unterbinden und fertig posten wollte, kommt ich irgendwie nicht mehr ins Internet (Beim Versuch erneut ins Internet zu verbinden kommt: Fehler beim Speichern des Drahtlosprofils. Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.) Vermutlich war das zu viel aufeinmal. Würde ja gerne mal neu starten, aber das lasse ich zunächst noch.

Ich schreibe gerade vom sauberen System. Die G Data Meldung mit der Bedrohung auf dem infizierten Rechner ist ständig oben und bietet verschiedene Aktionen an. Ich würde Dir trotzdem gerne zunächst das FRST-Log posten. Soll ich G Data unsanft beenden oder was soll ich machen?

Hi Jo,
versuche GDATA die Bedrohungen beseitigen zu lassen (Quarantäne? Löschen? Was bietet er an?) und mache anschließend ein neues FRST-Log OK? ;)

Es bietet folgende Aktionen an:

1. Immer erlauben
2. Erlauben
3. Programm anhalten
4. Programm anhalten und in Quarantäne verschieben

Welche nehme ich?

4. ;)

4. gemacht. G Data will Neustart. A). Erst noch FRST und dann Neustart oder B). Neustart und dann FRST?

:daumenhoc

Erst Neustart und dann bitte FRST posten! :)

Ok, das neue FRST bekommst Du gleich. Willst Du auch das FRST von vor dem Entfernen mit G Data, was ich vorhin schon posten sollte?

Ändere den Namen vom FRST.txt vor dem "Löschen" von GDATA in "vorher.txt" um und hebe es auf. Poste mir nur das neue nach dem Löschen und dem Reboot. ;)

Hier die nach dem "Löschen" mit G Data und Reboot erstellte

FRST.txt (Die von "vorher" hab' ich gut weggelegt)




FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

:daumenhoc

Na Jo, sieht doch nicht so schlecht aus... ;)

Könntest Du bitte diese Datei mit dem Editor oder dem Notepad öffnen und den Inhalt wie gewohnt posten?

Sieht gut aus, Top Sache. Respekt :-)

Hier die ESETNecursCleaner.exe_20140310.182841.5004.log

Super gemacht Jo! :abklatsch:

:daumenhoc

Stay tuned! ;)

Wir sind noch nicht fertig.... ;)

:daumenhoc:daumenhoc:daumenhoc

Trotzdem schonmal DANKE !

Bin dabei ... und gespannt, wie's weiter geht ...

Schritt 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mir also in Deiner nächsten Antwort den Inhalt der Logdateien wie gewohnt in Code Tags von:

- Malwarebytes
- ESET
- checkup.txt

Hi Jürgen, MBAM läuft seit ca. 10 Min. Log kommt gleich ...

Registry-Key und -Value von syshost32 mit MBAM entfernt. Neustart.

Dazu das Log:

Sehr gut :daumenhoc

Bitte auch die anderen Scans machen. Eset kann länger dauern.... ;)

Moin Jürgen

Das hat es :kaffee:

Ich warte mal noch weitere Instruktionen ab, bevor wir mit Schritt 3 (SecurityCheck) weitermachen.

Gruß Jo

Hallo Jo,

weißt Du wofür diese Datei ist? Wenn Du sie nicht kennst oder benötigst, dann lösche sie bitte.

Schritt 1
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Dann bitte wie geplant den Securitycheck durchführen. Anschließend werden wir Dein System auf den neuesten Stand bringen und absichern. ;)

Schritt 2
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo Jürgen,

ich kenne die Datei S-CDB_DEMO-Windows-2.9.8-SL035.exe (ist in einer Sicherung als "Beethoven" noch Vista als OS hatte) und wird seit einigen Jahren nicht mehr benutzt. Das ist eine Demoversion einer Anwendung. Man hat das ja schon mal das bestimmte "Muster" eine potenzielle Gefahr darstellen. Ich schließe das aber aus.

Ich wollte ggf. später (sofern die Zeit dafür da ist) mit Dir noch den Infektionszeitpunkt und die mögliche Ursache anschauen. Ich denke, Datum und Uhrzeit habe ich bereits sicher gefunden. Da ich die Windows Ereignisanzeige schon vor den ersten Clearing Maßnahmen stunden-/tagelang auf den Kopf gestellt habe, ist das Einfallstor des Schädlings gut eingrenzbar.

Wenn ich TFC ausführe wird z.B. "jar_cache4719067408113836257.tmp" gelöscht obwohl diese Datei zeitlich zum engen Kreis der verdächtigen Kandidaten gehört. Von dieser Java-Datei und einer "2SKKKKKKK.exe" habe ich, wie Du im ESET OnlineScanner Log siehst, seinerzeit mal eine Sicherung für weitere Analysen gemacht (z.B. Upload bei virustotal.com).

Treffer, beim Versuch diese Datei nochmal anzusehen, meldet G Data gerade einen :pfui:

Virus: Java:Malware-gen [Trj] (Engine-B)
Datei: jar_cache4719067408113836257.tmp
Verzeichnis: C:\Users\Jörg\AppData\Local\Temp
Prozess: Explorer.EXE

Habe die Datei zunächst in Quaratäne verschoben. Gleich mehr (muss mal vom sauberen Computer auf Beethoven wechseln) ...

Hier das G Data Log:

Und hier der schäbige schädliche Rest:

:stirn: Entschuldige bitte Jürgen. Ich hoffe, ich habe mich mit meiner Neugier bei Dir nicht disqualifiziert. :confused:

Und ich habe wieder was gelernt!

Jetzt doch schnell TFC ausführen oder erst nochmal was anderes?

Hi Jo,
also die Infektion stammt vermutlich vom Black Hole Exploit Kit - auf verseuchten Seiten holt man sich da schnell was. Gerade Deine veraltete Java-Version ist anfällig. Zeit was dagegen zu tun. ;)
Bitte TFC und Securitycheck ausführen, damit wir schnell zur Absicherung des PCs übergehen können. :)

So, TFC ist durch. Nun noch SecurityCheck.

checkup.txt

Hi Jo,
wie Du am Securitycheck siehst, sind wir noch nicht fertig und machen uns daher jetzt an die Absicherung des Systems.

Schritt 1
Windows 7 Service Pack 1 installieren.
Hier findest Du nähere Informationen dazu.

Meiner Meinung nach, ist das Runterladen und direkte Installieren des Service Pack empfehlenswert. Hier kannst Du Dir den SP1 für Windows herunterladen.
Falls es Probleme gibt, dann installiere Dir bitte dieses Tool.
Sollte die Installation erfolgreich gewesen sein, stelle anschließend sicher, dass die Windows Update-Funktion aktiviert ist. Eine Anleitung dazu findest Du hier. Installiere damit alle verfügbaren Updates.

Sind diese Punkte erledigt folgt

Schritt 2
Sicherheitsrelevante Software aktualisieren.
Besuche bitte die Update Seiten von Java und Flashplayer.
Achte bitte bei der Installation strikt darauf, dass keinerlei "Toolbars" & Co. mitgeladen werden. Dies erreichst Du durch Entfernen der Haken bei den optionalen "Angeboten". ;)

Schritt 3
Jetzt bitte ein frisches FRST-Log. :)

Nabend Jürgen,

soll ich bei der Service Pack 1 Installation MBAM bzw. andere der installierten Malware-Tools (ggf. auch G Data) temporär deaktivieren?

Gruß Jo

Hallo Jo,
es kann nicht schaden, wenn Du zu Beginn der Installation den Echtzeitschutz der Scanner temporär deaktivierst. Jedoch werden nach einem Neustart diese Schutzmodule erneut gestartet. Da würde ich sie dann aktiviert lassen. Meiner Erfahrung nach gibt es während der Updatevorgänge keine Probleme... :)

Bitte setze auch den Haken bei Addition.txt... ;)

Hallo Jürgen,

hurra, nach gefühlten 2.735 Updates auf einem zickigen Windows 7 ist jetzt auch SP1 installiert. ;)

Der Rest kommt auch noch :pfeiff:

Gruß Jo

;)

Das freut mich....

Nabend Jürgen,

die restlichen Windows 7 Updates (Empfohlene und Wichtige) sind nun alle installiert. :abklatsch:

Wie gehe ich in Schritt 2 vor:

- Java:
Soll ich Java 6 deinstallieren und dann Java 7 installieren oder wie mach' ich es richtig?

- Flash: Habe z.Zt. 11.5 installiert. Soll ich den Flash Player über Adobe einfach drüber installieren oder soll ich deinstallieren bevor ich die aktuelle Version 12.0.0.77 installiere?

Gruß Jo

:daumenhoc

Hi Jo, deinstalliere zuerst die alten Versionen. Installiere Dir dann von den angegeben Links die neuesten Versionen und paß bitte auf, dass keine "optionalen Angebote" mitinstalliert werden... :)

Dann noch FRST-Scan wie beschrieben....

Hallo Jürgen,

habe die alten Versionen von Java und Flash Player deinstalliert und die aktuellen Versionen installiert, ohne die :crazy: optionalen Angebote (Toolbars etc.)

Die beiden FRST Logs sind zu groß (zu viele Zeichen). Ich erhalte beim Versuch, den Inhalt der Logs über die Code-Tags einzufügen, folgende Meldung:

"Logs bitte als Archiv an den Beitrag anhängen!"

Ist das ok oder mache ich mit FRST noch was falsch? :confused:

Danke und Gruß
Jo

Hi Jo,
Nein Du machst das prima! :daumenhoc
Durch die ganzen Updates hat sich einiges auf dem PC getan... ;)
Daher sind die Logs auch größer. Hänge sie einfach an. Ich schaue sie mir dann so an. Wir sind sowieso fast fertig, also noch ein wenig Aufmerksamkeit und Mitarbeit und wir haben es geschafft! :abklatsch:

;)

Hier die Logs als Anhang "FRST.7z"

Sehr gute Arbeit Jo!
Macht der Rechner noch irgendwelche Probleme? Fällt Dir was auf? Ansonsten... :)




Epilog: Tipps, Dos & Don'ts

Hallo Jürgen :daumenhoc

Ich bin beeindruckt von Deiner kompetenten Unterstützung und ausdauernden Hilfe. Vielen Dank! "Rest" folgt. :abklatsch:

Der Rechner macht z.Zt. keine Probleme und es gibt keine Auffälligkeiten. Ich werde sicherheitshalber beim Abuse Team der Telekom aber auch nochmal nachhören, ob es noch irgendwelche Anhaltspunkte für einen aktuellen Missbrauch (SPAM) gibt und dann nochmal berichten.

Was ich in jeden Fall noch machen werde, ist ein Firmware Update auf meinem WLAN Router und das Ändern der Passwörter (aus aktuellem Anlass: Speedport/AVM). Empfiehlt es sich, zusätzlich zum Gerätepasswort auch das Passwort für den Internetzugang zu ändern?

Den "Epilog: Tipps, Dos & Don'ts" (vielen Dank!) muss ich noch durcharbeiten. Bzgl. Software vorab ein paar Fragen:

1. Der Plugin-Check auf tools.trojaner-board.de/plugincheck.html liefert mir "•Java ist nicht Installiert oder nicht aktiviert." Java ist aber installiert. Wie kann das sein?

2. Was macht eigentlich das ominöse "Java Plug-In (2) SSV Helper" im IE?

3. Ich habe überlegt, ggf. ganz auf Java zu verzichten. Ist das heutzutage überhaupt noch möglich bzw. praktikabel, was denkst Du?

4. IE 11 fragt mich bei der Einrichtung nach SmartScreen-Filter und Do Not Track-Anforderungen (vgl. Anhang "IE 11 einrichten.png"). Was stelle ich ein?

5. Ich denke, neben aktuellen Virensignaturen wäre ein Update der Programmversion von G Data 2011 auch empfehlenswert?

6. Sollte/muss ich den ESET Online Scanner deinstallieren?

7. Bei Malwarebytes Anti-Malware habe ich seinerzeit wohl eine Trial (Test) der Vollversion installiert. Habe nun noch 4 Tage bis zum Ablauf. Wenn ich nicht sofort kaufen, aber zunächst gerne die Free Version nutzen möchte, muss ich dann zwingend deinstallieren oder läuft MBAM dann automatisch als Free Version weiter? Wenn deinstallieren, dann in jeden Fall mit dem Deinstallationstool oder nur dann, wenn es Probleme gibt?

Vorab Danke für Deine Antwort.

Gruß Jo

Hi Jo,


1. Der Plugintest bezieht sich nur auf den Browser. Das schadet nicht, wenn kein Plugin aktiv ist, eher im Gegenteil. Wie deaktiviere ich Java in meinem Webbrowser?

2. Es ist ein Teil von Java und wird benötigt um innerhalb des Browsers Java-Anwendungen z.b. von Webseiten zu verarbeiten.

3. Es kommt darauf an, was Du alles machst im Internet. Manche Anwendungen erfordern es. Probiere es einfach mal aus...ohne...;)
Die Sicherheit wird auf jeden Fall erhöht wenn Du auf Java verzichtest.

4. So wie auf Deinem Bild ist das schon OK!

5. Kommt darauf an. Wie lange läuft denn noch die Lizenz? Sicher bedienen sich ältere Programmversionen von der gleichen Signaturendatenbank. Aber neuere Modelle haben evtl. auch bessere Schutzmodule. Vielleicht nimmst Du nur folgende Lösung: Ein Antivirus und die Windowsfirewall anstatt einer Internet Security Suite. Ich selber benutze aber auch eine, die von Bullguard.

6. ESET kannst Du behalten und ab und zu einen Scan machen. Wenn Du willst kannst Du es aber auch deinstallieren.

7. MBAM ist sehr empfehlenswert. Es ist zu überlegen ob sich nicht eine Lizenz lohnt. :)
Läuft die Testphase ab, dann verlierst Du nur den Echtzeitschutz, kannst aber ganz normal Scanvorgänge durchführen.

Hallo Jürgen,

sorry für die Verspätung, trotzdem vielen Dank für Deine Antworten. Ich denke, es sieht alles gut aus. Abschließend möchte ich gern noch folgendes wissen:

Zu 5.: Meine G Data Internet Security Lizenz läuft noch bis 30.03.2015. Ich habe die 2011er letztes Jahr mal verlängert, um weiterhin neue Signaturen zu bekommen. Ich habe bloß die Programmversion noch nicht auf 2013 upgedated. Im "Epilog: Tipps, Dos & Don'ts" wird unter "Sicherheits-Software" Emsisoft AntiMalware empfohlen. Dieses Tool kenne ich bisher nicht. Wo kann man nachlesen, wie es sich von den anderen am Markt bekannten Scannern unterscheidet?

Zu 7.: Ich denke, werde mir MBAM mal anschaffen. Wie unterscheidet sich dieses Tool eigentlich von einem klassischen Antivirenprogramm (wie z.B. G Data Antivirus, o.a.)?

Bzgl. der Infektion seinerzeit sprachst Du vom Blackhole Exploit-Kit. Woran konntest Du das erkennen/vermuten bzw. was sind Anhaltspunkte dafür?

Vielen Dank und Gruß Jo
:party:

Hallo Jo,
gerne beantworte ich Dir Deine abschließenen Fragen.

Infos über Emsisoft findest Du z.B. auf der Herstellerseite bzw. z.B. hier.

Zum anderen möchte ich anmerken, dass ich persönlich auf Testergebnisse von Computerzeitschriften etc. nicht viel gebe, sondern auf meine eigenen Erfahrungen zurückgreife. Daher handelt es sich ja auch nur um eine persönliche Empfehlung.
Bezüglich MBAM verweise ich auf diese Information.
Bezüglich des Blackhole-Exploit-Kits: Necurs wurde hauptsächlich darüber verteilt. Retrospektiv den Infektionsherd auszumachen ist praktisch nicht möglich.


Ich hoffe Du bist mit dem PC jetzt zufrieden?! :)

Bitte gib mir eine kurze Rückmeldung ob ich diesen Thread aus meinen Abos löschen kann. ;)

Danke und Alles Gute!

Hinweis: Ich habe das Thema aus meinen Abos gelöscht und werde daher über Änderungen oder Beiträge nicht weiter informiert. Wenn Du noch weiterführende Hilfe benötigst, dann schreib mir einfach eine PM.

:dankeschoen: