DHL-Trojaner ?
 

Hallo,

also auf Anraten aus dem Dr. Windows Forum eröffne ich hier nun auch ein Thema. Da ich die lange Geschichte jetzt schon öfters in jenem Forum gepostet habe, werde ich einiges einfach nur kopieren+einfügen, wenn das ok ist.

Die Vorgeschichte:

Habe gestern ne Mail bekommen von DHL von wegen ein Paket wär nicht angekommen, im Anhang war ne .zip Datei, die hab ich runtergeladen. Dann is das Saudumme passiert, habe die Datei per WinZip geöffnent und dann dummerweise wie reflexartig auf der Datei, die ich eigentlich nur ansehn wollte (ohne zu entpacken) nen Doppelklick ausgeführt.
Dies war ein Versehen, weil ich zu der Zeit grade ständig doppelgeklickt hab und dann ists eben auch auf dieser Datei passiert. (Ich weiß also natürlich, daß man sowas nicht macht)

Obwohl die Datei an sich net entpackt wurde, hatte ich ein schlechtes Gefühl, hab im Internet nachgesehn und im Trojanerboard den Hinweis auf eine neue Datei im Autostart entdeckt. Leider leider habe ich diese Datei trotzdem bei mir gefunden, denke also, daß ich den Trojaner trotzdem habe und das obwohl mein PC scheinbar noch gut funktioniert und Malwarebytes Anti Malware (kostenlose Version) nichts findet (durchsucht aber scheinbar auch eh nur C: )! ("Trotzdem" deshalb, weil ich noch gehofft habe wegen dem, daß ich die Datei ja eigentlich gar nicht wirklich entpackt hatte), gleich deaktiviert und neugestartet und gleich mit Kaspersky Rescue Disk 10 gebootet.
Die Datenbank ist aber stark veraltet - und da ich keine Internetverbindung herstellen kann mit diesem Kaspersky Rescue kann ich keine Updates machen.

Da ich nun schon öfters neu installiert habe und das alles recht schnell geht, habe ich mir gedacht, dann installier ich halt gleich das ganze Windows 7 neu.
Nun ist mir aber was aufgefallen, was evtl. sehr bedeutsam ist:
Ich hab ne SSD (C: ) mit Betriebssystem, Spielen, Programmen, etc. und ne HDD (D: ) für Bilder, Videos, v.a. wichtige Images, Treiber, Programme für Neuinstallation etc.pp.
Das Problem ist, die .zip Datei von DHL befand sich, als ich die .exe gedrückt habe, auf D:\Downloads, d.h. auf der Festplatte, die eigentlich nicht von ner Neuinstallation von Windows 7 betroffen wäre.

Kann der Virus weiteren Schaden auf Festplatte D: anrichten?

Kann ich das Problem mit einer Neuinstallation überhaupt beheben?

Hier ist alles, was ich bisher getan habe:

-Nach dem Klicken auf die .exe kam ne kurze Fehlermeldung, irgendwas konnte nicht geöffnet werden mit Adobe Reader.

-Danach recht schnell begriffen -> im Autostart verdächtige Datei gefunden und deaktiviert.

-neugestartet und gleich mit Kaspersky Rescue 10 gebootet. War überrascht, daß das im Grafikmodus (kannte bisher nur den Textmodus) aussieht wie ein eigenes Betriebssystem. Mit eigenem Webbrowser etc. Sah aus wie Windows 7 nur etwas entfremdet.

-Da hatte ich keine Internetverbindung, hab rechts unten an der Anzeige rumgeklickt und bei u.a. 'VPN konfigurieren' kamen solche Fenster mit irgendwelchen Gateways, IP Adressen, etcpp.

-> hab echt gar keine Ahnung von solchen Sachen und dachte mir deshalb, ich installiere leichter Windows 7 neu als mich da jetzt sicherlich erfolglos an Sachen zu wagen, von denen ich halt echt nicht weiß, was ich dabei tu.

- danach im Dr.Windows Forum gefragt und AdwCleaner und MBAM drüberlaufen lassen. Danach besagte .exe-Datei und auch die .zip-Datei manuell in den Papierkorb getan, den geleert.

- seitdem ich die .exe gelöscht hab, stehn im Autostart folgende Daten. Der abgefahrene Name unter "Systemstartelement" heißt jetzt "b29d44ee1b4e301abb9b0e5fdb5f432" und der Hersteller ist "Unbekannt". Befehl ist "C:\Users\Benutzername\AppData\Local\b29d44ee1b4e301abb9b0e5fdb5f432.exe" und Ort "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Derselbe Befehl wie davor (Daten vor der Löschung siehe unten*), die Datei ist dort nur nicht mehr, weil ich sie ja eben gelöscht habe.

-danach habe ich zufällig (echt irre!) in C:\Users\Benutzername\AppData\Local\Temp\7zO984E.tmp eine "DHL_Report_3701998557____ID27_DHL_DE_M05___BD27_05_2015___22_20_15___MessageId_ 039477.exe" gefunden, die ganz offensichtlich damit zu tun hat!!

-Habe diesmal im abgesicherten Modus zuerst einen empfohlenen Virenscanner benutzt (McAfee Stinger), danach AdwCleaner und danach Malwarebytes Anti Malware drüberlaufen lassen, und es findet nichts.

Der Autostarteintrag ist immernoch da. Ansonsten läuft mein Laptop aber scheinbar einwandfrei.

Was gilt es zu tun?

Ich bitte um Eure Hilfe!

Viele Grüße
suomynona



Achja, also Logs o.ä. gibts nicht, weil die ganzen Suchprogramme ja nichts erkennen!




*Das Ding im Autostart heißt Systemstartelement "etermination for clinical indications and for some single gene disorders including achondroplasia and ...". Hersteller ist "Flash", Befehl "C\Users\Benutzername\AppData\Local\b29d44ee1b4e301abb9b0e5fdb5f4.exe". Der Ort "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run".

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Danke für die zügige Antwort!

hier sind sie.

und nun?

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hätte ich das ganze im abgesicherten Modus tun solln?

Falls nicht, dann hier gewünschte Datei:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

ok werd ich machen....

aber bis auf dieses Junk Removal Tool hab ich das alles schon mehrfach getan und es hat nichts gefunden (wie ja schon gesagt)...:schmoll:

:confused:

Also "wider Erwarten" ergeben die ersten beiden wieder 0 Treffer...

In #1 hab ich geschrieben, daß ich die seltsame .exe gleich im Autostart deaktiviert hab. Findet das vielleicht deswegen nichts?

Junkware Removal Tool saugt noch...ich hab hier wirklich ultralangsames Internet und ich muß auch gleich weg, deswegen gibts den Rest u.U. erst in ca. zwei Stunden.

so hier jetzt auch wieder 0 Treffer....



Ist solch ein FRST immernoch nötig?

Okay, hier jedenfalls die frische FRST.

Kannst Du nun etwa das Problem erkennen?

Bitte die Exe wieder aktivieren, dann ein frisches FRST log anfertigen, posten, und Rechner vom Netz trennen bis ich den Fix gepostet habe.

Nun gut, allerdings hätt ich gern vorher etwas gewußt, falls das geht:

Wie lange würde denn das mit dem Fix denn ca. dauern? Kannst Du das sagen? Es geht da ums vom Netz nehmen. Ich muß unbedingt noch eine wichtige Arbeit erledigen und da kann ich eigentlich nicht so lange aufs Internet verzichten. Deshalb würd ich das gerne am besten dann beginnen, wenn ich z.B. weiß, daß Du das dann recht bald danach lesen kannst, wenn Du verstehst.

:dankeschoen:

Zumal ich ja ansonsten gar nicht wissen kann, wann Du den Fix gepostet hast.

Naja, wenn Du das heute noch packst schick mir ne PM, dann poste ich direkt den Fix.

Ok, ich pack das noch heute.

Eine Frage noch: während ich das Farbar Ding laufen laß, muß der PC währenddessen am Internet sein? Würde, solange diese .exe nämlich aktiviert ist, diese FRST log lieber von nem andern Laptop posten, will nicht, daß der Wurm Internetzugang bekommt. ;)

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Jetzt einfach wie gewohnt online bleiben :)



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

hier schonmal der frst nach der fixlist sache.....

und was ist mit dem USB stick anschließen gemeint? Soll ich jetzt "wahllos" meine USB Sticks da anschließen oder wie?



und noch ne weitere wichtige Frage:

Offensichtlich hab ich ja immer meinen Namen da ersetzt durch "Benutzername"...funktioniert Dein Fix trotzdem richtig?

Zumindest im Autostart seh ich diese seltsame Datei jedenfalls nicht mehr ! :)

Den Namen musste schon editieren auf den richtigen, dann den Fix wiederholen. Klemm nur an was häufig benutzt wird :)

hier dann jetzt die richtige Fixlog.txt


hier der logeintrag vom security check tool


folgendes problem beim eset:

also das hat echt ewig gedauert (v.a. das runterladen) und danach hat es drei treffer gehabt. All jene Treffer jedoch warn Nieten, das eine war ne .exe von nem Spiel von mir (ganz sicher kein Virus) und die ander beiden waren solche Treiber (ebenfalls harmlos), d.h. eigentlich gabs 0 Treffer.
Nun hab ich dummerweise beim Endfenster einen Haken gemacht bei der Option, nach dem Schließen ESET gleich zu deinstallieren.

Folglich hab ich gar kein Log!!

Da das aber eben echt ewig gedauert hat, wollt ich fragen, ob ich mir das erneute erstellen von dieser Logdatei sparen kann, wenn dich doch eh 0 Treffer gezeitigt hat!?

:crazy:

und falls das dann ok ist, dann hier der rechtmäßige finale FRST.txt :abklatsch:

Was ist also Dein Fazit? Ist das jetzt alles gut?