Rootkit.TDSS/ Trojan.Downloader gefunden - .exe-Anwendungen sind blockiert!
 

Hallo liebes Forum,

nach langer Zeit muss ich mich (leider :( - nicht falsch verstehen) mal wieder hier melden.
Vorab, das betreffend System ist nicht von mir, ich bin glücklicherweise seit geraumer Zeit viren- und trojanerfrei und habe auch vor, es zu bleiben.

Gestern nachmittag hat mich ein Freund angerufen und mir erzählt, dass in unregelmäßigen Abständen von 5-20 Minuten andauernd Internet Explorer Popups aufgingen. Das kam ihm spanisch vor, zumal sein Standardbrowser Firefox ist.
Also führte er einen Komplett-Scan mit Avira Antivir durch, der jedoch keinen Virus oder Ähnliches fand. Bemerkenswert: Am Ende des Scanns kann man bei Avira ja auf den Button "Report" klicken. Als mein Freund dies tat, geschah einfach nichts - keine Fehlermeldung, garnichts.
Als er daraufhin Antivir per Doppelklick in der Taskleiste rechts unten öffnen wollte, kam die Nachricht: onDblClick() failed.
Startete er das Programm normal über Arbeitsplatz-> C-> Programme usw., startet es einwandfrei.

Aus diesem Grund führte er einen Komplettscan mit Malwarebytes durch,
den ich der Übersicht halber in einen Code packe ;) :
Die betroffenen Stellen ließ er natürlich, wie von MBAM vorgeschlagen, beim nächsten Reboot löschen. ;)
Als er daraufhin erneut mit Avira und MBAM scannte, wurde nichts mehr gefunden.
Schön und gut - aber zu früh gefreut!:balla:
Heute rief er mich erneut an und berichtete, dass zwar die ominösen Popups aufgehört haben, er Antivir aber immernoch nicht per Doppelklick starten kann und nun folgendes Problem besteht:

Er hat ca. 15-20 Computerspiele installiert.
Davon kann er nurnoch eine handvoll starten (zufälligerweise alles ältere Spiele wie z.B. Titan Quest oder Stronghold Crusader), bei allen anderen wie z.B. Oblivion kommt die Nachricht:

"Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"

Der zunächst geäußerte Verdacht, es könnt an Windows 7 oder ähnlichem liegen, zerstreute sich schnell, ist er doch begeisterter User von Windows XP (natürlich SP3 installiert ;) ).

Nun stellt sich natürlich die Frage:
Ist das System immernoch verseucht?
Und falls ja, muss es neu aufgesetzt werden?

Anbei noch der HJT-Log:


Ich bedanke mich schonmal recht herzlich für Eure Hilfe.
Vielleicht ist ja doch noch etwas zu retten. ;)

Hi,

HJ sieht eigentlich gut aus...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hallo,
habe alles abgearbeitet.
So wie ich das sehe, scheint alles in Ordnung zu sein??
Egal, ihr seid die Experten:

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Hallo,
habe alles abgearbeitet.
So wie ich das sehe, scheint alles in Ordnung zu sein??
Egal, ihr seid die Experten:

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Hi,

ja sieht soweit gut aus...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

chris

Der GMER-Scan folgt, sobald er fertig ist.

Kann es vielleicht einfach sein,
dass der Virus/Trojaner/whatever einfach schon erfolgreich entfernt wurde,
aber irreparable Schäden am System zurückgelassen hat,
unter denen mein Freund jetzt zu leiden hat?

Ich habe keine Ahnung, ob sowas tatsächlich sein kann,
also bitte nicht lachen, sollte das eine doofe Frage sein. ;)

GMER-Scan:

GMER Logfile:
--- --- ---

Hi,

daemontools und starforce kopierschutztreiber, da müssen wir erstma den defogger laufen lassen, und dann nochmal gmer...

Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick. Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort. Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

Malware pfuscht schon mal am Rechner rum, so dass "bleibende" Schäden zurückbleiben, auch wenn sie komplett entfert wurde...

Daher probieren wir das hier:
System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

Hallo,
danke für deine Hilfe.
Mit Defogger ließ sich nur Daemon Tools, nicht aber Starforce deaktivieren..

GMER läuft zur Zeit noch.
Advances Windowscare Professional hat auch nicht die gewünschte Verbesserung gebracht.
Es hat zwar einige Sachen bereinigt, doch das Problem besteht weiterhin.

Also, nur, damit es nicht in Vergessenheit gerät, folgendes Problem besteht :P :

- etliche exe-Anwendungen, darunter TuneUp Utilities und viele Spiele lassen sich nicht starten, da angeblich nicht über die benötigten Rechte verfügt werden würden.
- bei Doppelklick auf das Antivir Icon erscheint: onDblclick() failed.


Danke :)

Hier der erneute GMER-Scan.
Sieht eigentlich genauso aus wie der alte, hat Defogger überhaupt etwas bewirkt?

GMER Logfile:
--- --- ---

Hi,

eigentlich hätte noch die sptd rausfliegen sollen...
Versuche mal die Rechte für eine Anwendung die nicht funktioniert zu übernehmen, wie folgt:
[url]http://www.winsupportforum.de/forum/faqs-facts-basics/13-besitz-von-dateien-und-ordnern-uebernehmen.html[url]

Berechtigung prüfen (ob Du noch Admin bist):
Zugriffs-Berechtigung prüfen:
Start->Ausführen->control userpasswords2

chris

Hallo,
das Register "Sicherheit" gibt es garnicht auszuwählen? :heulen:

Führe ich control userpasswords2 aus,
kommt die Fehlermeldung:

rundll32.exe
"Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"


Das ganze Fenster schließt sich nach ca. 5 Sekunden automatisch.
Also ist mein Freund garnicht mehr Admin???

Habe es eben im abgesicherten Modus probiert,
auch da kann ich control userpasswords2 nicht ausführen.

Hi,

das sieht nicht gut aus..
Hast Du ein Backup von dem Rechner?
Sonst würde ich jetzt mal die Daten sichern, und dann:

Backup der Registry erstellen mit ERUNT:

* Lade Dir ERUNT von folgender Adresse: Favorite Freeware
* Wähle die Installationsversion von ERUNT und installiere es auf deutsch
* Nach der Installation startet er gleich, alle Auswahlen so lassen
* Backup durchführen

Dann das hier runterladen und ausführen...
http://go.microsoft.com/?linkid=9646979

chris