Trojaner auf Windows XP tauchen immer wieder auf
 

Eine Bekannte hat mir ihren Laptop überreicht. :crazy:

Immer wieder tauchen Viren und Trojaner auf.

Historie:
Im Januar hat sie eine Schreiben von der Telekom erhalten das von ihrem Anschluss Schadcode verbreitet wird (oder so ähnlich das übliche wohl halt). Sie hat darauf hin alle Updates durchgeführt, Avira free aktualisiert und laufen lassen und Malwarebyte installiert und laufen lassen sowie Spybot.
Viele Funde und alle beseitigt, davon hat sie aber kein Log mehr. :kloppen:

Danach war erst einmal Ruhe auf dem Gerät. Nach ca. 1 Woche Meldung von Avira und wieder beseitigt. Jetzt hat sich Avira wieder gemeldet:

Avira 1:
Avira2
21.02.2014 16:02 [System-Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\drivers\1c6e5.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5063c284.qua'
verschoben!
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1c6e5\ImagePath> wurde
erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1c6e5\ImagePath> wurde
erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1c6e5\ImagePath> wurde
erfolgreich repariert.

Der EPack ist wohl schön öfter erkannt worden.

GMER
FRST
Addition
Ich hoffe das stimmt jetzt so :-)

Grüße
Christoph

Hallo Snoopy0711, :hallo:

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:
Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus. :)

Das FRST Logfile ist nicht vollständig, bitte nochmal vollständig posten :).

Danke !
So ich hoffe es stimmt so


FRST Logfile:
--- --- ---

Jetzt stimmts :).

Die von dir geposteten Logs sind vom 21.02.2014. Meckert Avira immer noch rum?



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Gibt es noch Probleme mit dem Rechner?



Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Fix
• MBAM-Scan
• ESET-Scan
• FRST-Scan

Meine Bekannte hat sich nicht mehr getraut den Rechner zu starten. Das habe ich heute erst wieder gemacht. Bis jetzt keine Meldung, habe aber auch nichts laufen lassen.

Meine Bekannte hat sich nicht mehr getraut den Rechner zu starten. Das habe ich heute erst wieder gemacht. Bis jetzt keine Meldung, habe aber auch nichts laufen lassen.

Kein Funde in Malwarebyte

Der Rechner hängt bei Eset, ich probiere es morgen noch mal.

Alles klar :).

Eset



FRST


FRST Logfile:
--- --- ---

Sorry, für die kurze Verspätung, aber ich hatte gestern sehr viel für die Schule zutun. Da du mir nicht auf die Frage geantwortet hast, ob du noch Probleme mit dem Rechner hast, nehme ich an, dass es keine gibt. Damit sind wir fertig :).



Schritt 1
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Updates
Java Version 7 Update 51
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 51 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

Adobe Flash Player Version 12.0.0.77

• Deinstalliere bitte deine aktuelle(n) Version(en) des Adobe Flash Players.
• Lade dir die neuste Version hier herunter: Adobe - Adobe Flash Player installieren
• Entferne den Hacken für das optionale Angebot "McAfee Security Scan Plus".

Cleanup
Falls du Malwarebytes Anti-Malware und den ESET Online Scanner nicht mehr behalten möchtest, kannst du diese über die Systemsteuerung deinstallieren. Ich empfehle dir, mindestens ein Programm zu behalten (näheres in den Tipps).

Windows XP: Start --> Systemsteuerung --> Kategorieansicht auswählen (falls nicht voreingestellt) --> Software
Windows Vista/7: Start --> Systemsteuerung --> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) --> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

In deinen Logfiles sehe ich im Moment keine schädlichen Einträge mehr, du bist in meinen Augen Clean. Für die Zukunft habe ich dir Tipps aufgeschrieben, damit du uns in nächster Zeit nicht mehr brauchst :).




Tipps - Frequently Asked Questions (FAQ)/Häufig gestellte Fragen



Wenn du die Arbeit des Trojaner-Boards unterstützen möchtest, kannst du gerne spenden :).

Ich wünsche dir eine schöne und malwarefreie Zeit :daumenhoc.

Rechner gerade gestartet, ist recht langsam und wieder ein Fund.

Der Wiederstart ist sehr langsam und der Startsound verzerrt. Irgendwas stört ihn gerade...

Hmm, es sieht so aus, als ob GMER daran Schuld wäre. Auch die Datei, die von Avira bemängelt wurde, sieht eher nach einem Fehlalarm aus. Wir gucken uns das mal genauer an:



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  C:\WINDOWS\system32\upnp.dll

  ---

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Fix

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion ermöglichen.

Ich war die Woche viel unterwegs und heute habe ich erst mal das wunderschöne Wetter genutzt. Gleich geht es weiter.

https://www.virustotal.com/de/file/988157b737163deaafdb8157dbc3d37c05dadc4433a864d7c811cf23087e86f2/analysis/1396131434/

Oh, sry, ich hab dich übersehen :crazy:.

Wie vermutet, liegt das Problem an GMER. Nach diesem Schritt sollte eig. wieder alles normal funktionieren :).

Schritt 1
HDD-Controller-Treiber zurücksetzen nach Scan mit GMER
(Originalwebseite und mit freundlicher Genehmigung von Hans-Georg Michna)

• Mache einen Rechtsklick auf diesen LINK, wähle "Ziel speichern unter ..." und speichere es auf deinem Desktop.
• Fall die Datei als resetdma.vbs.txt gespeichert wird, benenne sie um in resetdma.vbs
• Starte die Skriptdatei und lasse die Ausführung zu. Achtung Virenscanner könnten anschlagen.
• Falls das Programm etwas gefunden und repariert hat starte deinen Computer neu.
• Berichte ob sich die Performance verbessert hat.

Das mit Avira warn Fehlalarm :).

Hast du sonst noch Fragen?

Ja jetzt ist er wieder schneller !
Danke !
Na ich hoffe mal das er jetzt sauber ist, sonst hilft wohl nur noch neu installieren.

Hi,

Alles klar.

Wir haben den PC doch bereinigt. Hast du einen bestimmten Grund zur Annahme, dass der PC nicht sauber sei? Wenn ja, bitte mitteilen und noch ein frisches FRST Logfile :).