Windows Restore Malware eingefangen - geht nicht weg
 

Hallo zusammen,

wir haben seit gestern Abend den Windows Restore-Trojaner an Bord unseres PC mit folgendem Ergebnis:
- schwarzer Desktop-Hintergrund
- ständige Fehlermeldungen, dass der Prozessor zu heiß ist etc.
- Aufforderung, fehlerhafte Teile unserer Festplatte zu reparieren --> Kaufaufforderung für das komische Programm

Ich habe jetzt mehrfach das Malwarebytes-Programm laufen lassen, es wurden auch bis zu neuen infizierte Dateien entdeckt (logfile poste ich gleich unten).
Allerdings hat sich auch nach dem Löschen dieser Dateien mit Malwarebytes das doofe Windows Restore-Fenster immer gleich wieder gestartet.
Habe das Programm manuell vor Scan-Start aktualisiert gemäß Anweisung hier im Forum.
(Im Wesentlichen habe ich mich an diesem Thread hier orientiert: http://www.trojaner-board.de/97055-w...daten-weg.html

Ich habe auch das Kaspersky-Tool ausgeführt, das hat aber nichts gebracht.

Jetzt schreibe ich von meinem Büro-PC aus.

Danke für Hilfe!!
Sonja

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8061

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

02.11.2011 06:56:25
mbam-log-2011-11-02 (06-56-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 1157531
Laufzeit: 8 Stunde(n), 18 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> 3896 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\rabbit77\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\ZT2G5KH5\ophcrack-win32-installer-3.3.1[4].exe (PSWTool.OphCrack) -> No action taken.
c:\Users\rabbit77\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\ZT2G5KH5\ophcrack-win32-installer-3.3.1[7].exe (PSWTool.OphCrack) -> No action taken.
c:\Users\rabbit77\AppData\LocalLow\Sun\Java\deployment\cache\6.0\40\135bb0e8-4edd1d0a (Trojan.Downloader.adb) -> No action taken.

Bitte alle Logs von Malwarebytes posten.

Hallo,

hier sind die gesammelten Logfiles:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8061

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

01.11.2011 17:50:58
mbam-log-2011-11-01 (17-50-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176730
Laufzeit: 13 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\programdata\6dss92c31apgjk.exe (Trojan.FakeAlert) -> 2636 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4Y3Y0C3AUF7XWHWDRJVZG (HackTool.GamesCheat) -> Value: 4Y3Y0C3AUF7XWHWDRJVZG -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programdata\6dss92c31apgjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Recycle.Bin\b6232f3a5ab.exe (HackTool.GamesCheat) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\Temp\jar_cache49553.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\Temp\jar_cache64592.tmp (Trojan.Zbot) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\Temp\~!#3CBB.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\Temp\jar_cache23554.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\Temp\jar_cache6820.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Recycle.Bin\9f2ff36c9bc571f (Trojan.Spyeyes) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8061

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

02.11.2011 06:56:44
mbam-log-2011-11-02 (06-56-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 1157531
Laufzeit: 8 Stunde(n), 18 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> 3896 -> Failed to unload process.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\Users\rabbit77\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\ZT2G5KH5\ophcrack-win32-installer-3.3.1[4].exe (PSWTool.OphCrack) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\ZT2G5KH5\ophcrack-win32-installer-3.3.1[7].exe (PSWTool.OphCrack) -> Quarantined and deleted successfully.
c:\Users\rabbit77\AppData\LocalLow\Sun\Java\deployment\cache\6.0\40\135bb0e8-4edd1d0a (Trojan.Downloader.adb) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8061

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

02.11.2011 07:26:35
mbam-log-2011-11-02 (07-26-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176356
Laufzeit: 21 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> 3752 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\1kalmig2kb7fzp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

17:54:06 rabbit77 MESSAGE Protection started successfully
17:54:11 rabbit77 MESSAGE IP Protection started successfully
17:54:48 rabbit77 DETECTION C:\ProgramData\6DSS92c31Apgjk.exe Trojan.FakeAlert QUARANTINE
18:12:49 rabbit77 MESSAGE Protection started successfully
18:12:53 rabbit77 MESSAGE IP Protection started successfully
22:20:31 rabbit77 ERROR Scheduled update failed: No address found failed with error code 11004

04:10:41 rabbit77 IP-BLOCK 89.46.251.130 (Type: outgoing, Port: 49375, Process: 1kalmig2kb7fzp.exe)
06:57:08 rabbit77 DETECTION C:\PROGRAMDATA\1KALMIG2KB7FZP.EXE Trojan.FakeAlert QUARANTINE
06:57:16 rabbit77 IP-BLOCK 193.105.154.22 (Type: outgoing, Port: 49380, Process: 1kalmig2kb7fzp.exe)
06:57:16 rabbit77 IP-BLOCK 89.46.251.130 (Type: outgoing, Port: 49381, Process: 1kalmig2kb7fzp.exe)
06:57:16 rabbit77 IP-BLOCK 92.114.94.195 (Type: outgoing, Port: 49382, Process: 1kalmig2kb7fzp.exe)
06:57:16 rabbit77 IP-BLOCK 193.105.154.22 (Type: outgoing, Port: 49383, Process: 1kalmig2kb7fzp.exe)
07:02:30 rabbit77 MESSAGE Protection started successfully
07:02:34 rabbit77 MESSAGE IP Protection started successfully
18:51:01 rabbit77 MESSAGE Protection started successfully
18:51:05 rabbit77 MESSAGE IP Protection started successfully

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Seit gestern nicht mehr, vorher schon... Wie lang ist der denn schon infiziert? Was mache ich jetzt? Neuinstallation? Danke fuer die Hilfe,
Sonja

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den riskanten Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows und anschließend das Ändern sämtlicher Passwörter!

Zur Sicherheit solltest du auch umgehend Onlinebanking sperren lassen.

Oh je, so schlimm? Kann man denn sehen seit wann der PC infiziert ist? Und kann ich vorher meine 5aten irgendwie sichern? So ein Mist.

Daten sichern? Mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein.


Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Super, vielen Dank fuer die schnelle Hilfe! Wie kann ich mich denn in Zukunft gegen sowas absichern? Wir hatten bisher avira auf dem PC, ist das nicht ausreichend?

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Ok, so werd ich's machen.
Besten Dank für die Tipps und die tolle Betreuung!
Viele Grüße
Sonja