Doppelinfektion nach zwei verschiedenen falschen DHL Mails - Check vor Systemneuinstallation?
 

Hallo Zusammen,

Gestern hat meine Partnerin auf ihrem Win 8.1-Privatrechner (Acer Aspire E 13) auf zwei verschiedene vermeintliche DHL Mails geklickt. Die erste war eine mit blauem Sendungsnummernlink, die zweite mit einem .zip oder pdf.exe o.ä. Anhang. Die Mails und die Dateien im Downloadordner hat sie so schnell gelöscht, dass ich keinen Blick auf sie werfen konnte.

Laut ihrer Aussage wurde wenigstens bei einer der Mails nach dem Doppelklick auf den Anhang oder den Link (welche der beiden Mails es war ist nicht mehr klar) durch eine Systemmeldung das Ausführen blockiert (Eine Meldung die optisch der Warnung vor niedrigem Akkustand warnt). Es wurden aber definitiv der Link der einen und (!) der Anhang der zweiten Mail angeklickt (Laut ihrer Aussage macht sie das nie, außer heute versehentlich gleich zweimal in 1 Minute). Danach hat sie sich noch schnell bei der Bank eingeloggt und nachgesehen ob noch alles in Ordnung ist. Das Banking-Loginpasswort hat sie danach von einen Linuxrechner aus geändert.

Ich habe für sie dann alle relevanten Dateien auf einen USB-Stick gesichert und das Programm FRST64.exe auf den Desktop heruntergeladen. Die Ausführung dieses Programms wurde jedoch durch eine gleichartig lautende Systemmeldung (wieder ähnlich der Meldung, die optisch der Warnung vor niedrigem Akkustand warnt) verhindert.

Vor dem Neustart lief ein kompletter Avira-Scan mit nur einer Warnung: swapfile.sys [Warnung] Die Datei kann nicht geöffnet werden ...

Nach dem Herunterfahren und Neustart des Systems startet das Programm FRST64.exe zwar immer noch nicht direkt, die Meldung ist aber eine andre:

"Benutzerkontensteuerung: Möchten Sie zulassen, dass durch das folgendes Programm von einem unbekannten Herausgeber Änderungen an diesem Computer vorgenommen werden? [...]"

Nach dem Neustart lief noch ein weiterer kompletter Avira-Scan mit nur einer Warnung: swapfile.sys [Warnung] Die Datei kann nicht geöffnet werden ...

Der Plan ist jetzt eine komplette Systemneuinstallation mittels der vorinstallierten Win 8.1 Version. Diese Prozedur lässt ja sich irgendwo beim Booten starten. Folgende Fragen sind nun offen:

1) Birgt die geplante Neuinstallation (Wiederherstellung des Auslieferungszustandes) irgendein Risiko? Schließlich könnte sich ein Schadprogramm ja auch so installieren, dass es nach der Wiederherstellung in den Auslieferungszustand gleich wieder aktiv ist.

2) Birgt das Zurückspielen der gesicherten Daten vom USB-Stick ein Risiko? Sollte der Stick vorher (mit den potentiell befallenen System) gescannt/bereinigt werden?

3) Sind die unterschiedlichen Typen der Meldung beim Versuch FRST64.exe zu starten, vor bzw. nach Neustart des System ein brauchbarer Hinweis?

Der einzige Grund für die Verwendung von Win 8.1 ist die übrigens die fehlende Linux-Funktionalität bzw. -Kompatibilität des installierten SonicWall VPN-Clients, der meiner Partnerin den Zugang zu ihrem Ausbildungsinstitut ermöglicht. Ansonsten würde sie viel lieber mit Ubuntu arbeiten.

viele freundliche und vorab dankbare Grüße

eure Klara

Hi und :hallo:

Hälst du eine Neuinstallation nicht für etwas übertrieben hysterisch?

Mal abgesehen davon, dass wir kein Avira mehr empfehlen (in der Vergangenheit zu viele Fehlalarme, Browsererweiterung entpuppte sich als Spyware) hat es nur die Warnung in der Auslagerungsdatei. Und das ist völlig normal, denn auf jedem Windows-System wird diese exklusiv gesperrt sodass kein anderer Prozess darauf zugreifen kann.


Und weiter? Es ist nichts neues, dass du für FRST und allen anderen Tools diesem Vorgang zustimmen musst...

Hallo und vielen Dank,

Ja hysterisch ist schon der richtige Ausdruck, mein Lebensmotto:
"Sobald du aufhörst paranoid zu sein, kriegen sie dich."

Ich poste hier die beiden Logfiles FRST.txt und Addition.txt.
Welche Antivieren-Programme empfehlt ihr denn, statt Avira?

Vielen Dank schon mal.


FRST.txt:

... Fortsetzung folgt ...

... FRST.txt ... Fortsetzung ...

... Fortsetzung folgt ...

... FRST.txt ... Fortsetzung 2 ...

... Fortsetzung folgt ...

... FRST.txt ... Fortsetzung 3 ...

... Addition.txt folgt gleich ...

Addition.txt:

Nochmals Danke von der Klara!

Also "hysterisch" deswegen weil es überhaupt keinen Anhaltspunkt für eine Infektion gab, ihr aber trotzdem alles plätten und neu machen wolltet. Daswegen hilt ich das für übertrieben.

Bitte mit MBAR fortfahren:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Cosinus,

Das Tool beendete die Suche mit der Ausgabe: No Malware found!
Es erfolgte kein Cleanup oder Neusart.

Gruss Klara

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Also hier der Reihe nach:

adwCleaner:

Dann JRT:

Und hier der Anfang der FRST.txt:

... Fortsetzung gleich ...

FRST.txt II:

FRST.txt III:

FRST.txt IV: