Trojaner-Board - Akuter System Fix Befall / Antivir meldet: Ferwurm4ccF3Ckk (?)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Akuter System Fix Befall / Antivir meldet: Ferwurm4ccF3Ckk (?) (https://www.trojaner-board.de/105857-akuter-system-fix-befall-antivir-meldet-ferwurm4ccf3ckk.html)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes Scan läuft. Das dauert wieder 2h.
Die nächsten beiden Scans laufen dann die Nacht über durch.

Besten Dank für die kompetente Hilfe

Hier nun die 3 Scans:

Malewarebytes:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8331
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

08.12.2011 05:47:05

mbam-log-2011-12-08 (05-47-02).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 661970

Laufzeit: 2 Stunde(n), 25 Minute(n), 25 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\_OTL\movedfiles\12072011_133044\c_programdata\hidpxadghophfp.exe (Rogue.FakeHDD) -> No action taken.

c:\_OTL\movedfiles\12072011_133044\c_programdata\qskdnynxckdrt.exe (Rogue.FakeHDD) -> No action taken.

c:\_OTL\movedfiles\12072011_133044\c_programdata\rvzmnqqbb3t9ka.exe (Rogue.FakeHDD) -> No action taken.

Superantispyware:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 12/08/2011 at 05:28 PM
 

Application Version : 5.0.1136
 

Core Rules Database Version : 8027

Trace Rules Database Version: 5839
 

Scan type       : Complete Scan

Total Scan Time : 03:22:50
 

Operating System Information

Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 709

Memory threats detected   : 0

Registry items scanned    : 71216

Registry threats detected : 0

File items scanned        : 558968

File threats detected     : 3
 

Trojan.Agent/Gen-FakeAlert

        C:\_OTL\MOVEDFILES\12072011_133044\C_PROGRAMDATA\HIDPXADGHOPHFP.EXE

        C:\_OTL\MOVEDFILES\12072011_133044\C_PROGRAMDATA\QSKDNYNXCKDRT.EXE

        C:\_OTL\MOVEDFILES\12072011_133044\C_PROGRAMDATA\RVZMNQQBB3T9KA.EXE

ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b1e9fe90c9c8af4eb0f5d6edeb3407a7

# end=stopped

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-06 05:59:40

# local_time=2011-12-06 06:59:40 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 82451 59729580 76224 0

# compatibility_mode=5893 16776574 100 94 78815 74822574 0 0

# compatibility_mode=8192 67108863 100 0 3739 3739 0 0

# scanned=130259

# found=0

# cleaned=0

# scan_time=1656

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b1e9fe90c9c8af4eb0f5d6edeb3407a7

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-06 08:05:01

# local_time=2011-12-06 09:05:01 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 84180 59731309 77953 0

# compatibility_mode=5893 16776574 100 94 80544 74824303 0 0

# compatibility_mode=8192 67108863 100 0 5468 5468 0 0

# scanned=481984

# found=7

# cleaned=0

# scan_time=7468

C:\ProgramData\hIdPXadgHOPHfP.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\ProgramData\QSKDNYNxcKDRT.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\ProgramData\rvzmNQQBb3t9kA.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Admin\AppData\Local\Temp\di1m3NphCrvzmN.exe.tmp        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\hIdPXadgHOPHfP.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\QSKDNYNxcKDRT.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\rvzmNQQBb3t9kA.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b1e9fe90c9c8af4eb0f5d6edeb3407a7

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-08 09:35:47

# local_time=2011-12-08 10:35:47 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=3073 16777213 80 71 7398 5362154 0 0

# compatibility_mode=5893 16776574 100 94 109137 75001588 0 0

# compatibility_mode=8192 67108863 100 0 182753 182753 0 0

# scanned=480716

# found=3

# cleaned=0

# scan_time=8429

C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\hIdPXadgHOPHfP.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\QSKDNYNxcKDRT.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\rvzmNQQBb3t9kA.exe        a variant of Win32/Kryptik.WSL trojan (unable to clean)        00000000000000000000000000000000        I

Nun hat auch der "Windows Defender" die Trojaner in ...\_OTL\MovedFiles\... endeckt: ;)

Zitat:

Kategorie: Trojaner

Beschreibung:
Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfehlung:
Entfernen Sie diese Software unverzüglich.

Ressourcen:
containerfile:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\hIdPXadgHOPHfP.exe

containerfile:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\QSKDNYNxcKDRT.exe

containerfile:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\rvzmNQQBb3t9kA.exe

file:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\hIdPXadgHOPHfP.exe->(UPX)

file:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\QSKDNYNxcKDRT.exe->(UPX)

file:
C:\_OTL\MovedFiles\12072011_133044\C_ProgramData\rvzmNQQBb3t9kA.exe->(UPX)

Ansonsten scheint nach 4 maligen intensiven Scans alles wieder sauber zu sein. Wie sehen die nächsten Schritte aus?

Dass die Funde in C:\_OTL harmlos sind weißt du? Das ist die Q von OTL. Jedenfalls sind das nicht aktiven Schädlinge, einfach löschen.

Rechner soweit wieder im Lot?

Zitat:

Zitat von cosinus (Beitrag 731924)

Dass die Funde in C:\_OTL harmlos sind weißt du? Das ist die Q von OTL. Jedenfalls sind das nicht aktiven Schädlinge, einfach löschen.

Rechner soweit wieder im Lot?

\_OTL ist schon gelöscht. Diese Funde waren nur wegen der Verifikation der Scans interessant.

Keine weiteren ungewöhnlichen Symptome, Windows startet und läuft wieder normal (Autostartprogramme und Dienste werden normal gestartet. Die Liste der angezeigten Prozesse sieht auch wieder wie immer aus).

Die Infektion scheint demnach glimpflich abgelaufen zu sein.

Jetzt nur noch die überschüssigen Virenscanner entfernen, einmal Festplatte bereinigen und defragmentieren und Firefox absichern. ;)

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Flashplayer
Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers => Adobe - Andere Version des Adobe Flash Player installieren
(Alternativ bei Chip => http://filepony.de/?q=Flash+Player)

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.