Win32: Krytik-HIZ Trojaner, wie soll ich weiter vorgehen?
 

Guten Tag,
ich hatte die ganze Zeit ein sauberes System und jetzt plötzlich ist es infiziert. So ist die Lage im Moment: Ich habe mit G Data Internet Security 2012 meinen Rechner gescannt ( also im Betriebszustand ), dazu habe Emsisoft Anti Malware daruchlaufen lassen, kein Fund. Der Grund warum ich diese Programme scannen lies war, dass am Mittag der G Data Wächter 4 Trojaner ( Trojan.JS.Redirector.VP ) geblockt hat. Dann habe ich zum Glück die Boot CD von G Data eingelegt und gescannt. Naja, ab da wurde es richtig blöd. Als erstes wurde der Trojaner Win32: Krytik-HIZ in meinem BackUP auf der zweiten Platte entdeckt. Das hat mich verwundert, weil ich das BackUP ganz am Anfang nach der Installertion von Win7 erstellt habe. Dazwischen habe ich auch mit der CD gescannt und es war kein Virus drauf. Danach wurde der selbe Virus noch unter Windows ( eine .ico Datei ) und wenn ich mich recht erinnern kann unter Appdata Microsoft auch eine .ico Datei gefunden. Nach jedem Fund hat sie die CD aufgehängt und ich musste neu starten. Daher kann es sein, dass der Virus noch wo anderes sitzt, da ich erst 90% gescannt habe. Bei den drei erkannten Viren habe ich "Datei Löschen" geklickt. Dazu habe ich jetzt noch den TDSSKiller von Kaspersky laufen lassen, kein Fund. Auch HiJackThis hat keinen roten Eintrag markiert. Malwarebytes Anti Malware scannt gerade, hat aber noch nichts entdeckt.

Wie soll ich weiter vorgehen? Vielen Dank

PS: Jetzt ist Malwarebytes fertig, kein Fund.

Wo snd die Logs von den Scannern? Alle bitte nachreichen egal ob Fund oder nicht. Alle von Malwarebytes, GDATA und was du noch so ausgeführt hast.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hmmm, da gibt es ein kleines Problem.
G-Data speichert die Log's vom Bootscan nur wenn er abgeschlossen ist. Nach jedem Virusfund habe ich auf '' löschen '' geklickt und dabei hat sich die CD aufgehängt. Deshalb habe ich alle Trojaner löschen können, es sind aber trotzdem keine Logfils vorhanden. Habe nochmals mit der CD gescannt, kein Fund. Auch TDSSKiller, MBAM, Emisoft und MBR.exe haben nichts gefunden. Ich vermute mal, dass die Trojaner weg sind. Gibt es irgendweine Möglichkeit zu sehen, ob die Trojaner einen Port geöffnet haben?

Geöffnet haben? Der jetzt geschlossen ist? Nein
Du weißt wir das mit den Ports funktioniert? :pfeiff:

KLick auf Malwarebytes => Reiter Logdateien. Alles posten was da ausgeflistet ist

Das ist alles? :wtf:
Hat Malwarebytes nie was gefunden oder sind diese Logs nicht mehr da? Evtl. mit einem anderen Windowsbentuzer die Scans gemacht?

...................

Gdata hat die Trojaner entdeckt, nicht Malwarebytes. Ich weiß es aber nicht ob es sie entdeckt hätte, da ich sie ja bei der ersten Erkennung gleich gelöscht habe.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Der Eset Scanner hat auch nichts gefunden. Nur das mit dem Log funktioniert nicht richtig da kommt nur das: ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

Das hast du auch umgesetzt? => Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Leider nicht aber ich werde es jetzt nochmals ausprobieren.
Ist das aber wirklich so ausschlaggebend?

Ja wenn nicht, dann stehts es nur zur Deko da oder was? :(

Jetzt ist auch der zweite Scan mit Eset fertig.
Wieder kein Fund. Brauchst du dann das Logfile trotzdem?
PS: IE als Admin ausgeführt :D

Irgendwie glaube ich das System ist sauber aber du bist der Experte.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ist es schlimm, dass ich den Virenscanner nicht deaktiviert habe?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ok, kannst du mir etwa erklären, was das in meinem System ändert?

Ich schmeiß da ein paar Einträge raus. Mit den Commands werden die HOSTS zurückgesetzt und alle %tmp% Ordner geleert.
Alles klar? ;)

Habe alles genau so gemacht. Dann war plötzlich der ganze Desktop samt der Taskleiste weg. Musste den Rechner per Hand runterfahren. War das so geplant?

Ich würde es gerne wieder rückgäning machen, wie geht das?

Also können dadurch keine zusätzlichen Schwachstellen am PC entstehen?

Das ist ja nun Quatsch. Ich fix doch nicht etwas damit mehr Unsicherheit entseht :stirn:
Woher dieses Misstrauen? :confused:

In dem Moment als beim Fixen die Taskleiste und alles andere plötzlich weg war und überhaupt nichts mehr ging, kam der Gedanke. Dazu vermute ich einfach mal, dass dadurch auch Schwachstellen entstehen KÖNNTEN ( nicht müssen ).
Gibt es eigentlich ein Tool, mit dem man den eigenen PC auf Schwachstellen prüfen kann?

Wo ist das Fixlog?

Kommt drauf an was du unter Schachstellen verstehst bzw. was du damit meinst!

Es gab kein Logfile, da sich der Rechner nach dem Beenden des Fixes aufgehängt hatte. Wurde es evtl. irgendwo gespeichert?

Ich dachte an ein Tool, dass das System einfach mal durchcheckt und dann den Sicherheitsstatus ausspuckt.

Hey, jetzt habe ich noch ein Problem:
Wenn ich bei G-Data etwas ändern möchte und ich das Admin PW eingebe kommt immer '' sie müssen über Admin Rechte verfügen ''. Bei anderen Programmen klappt es mit den Admin Rechten. Was soll ich tun, ist dringend.

Habe es mit der Systemwiedreherstellung probiert, haat auch nicht funktioniert.
Wie bekomme ich wieder den Vollzugriff über G-Data?
Vor dem Fix hats 100% geklappt.

Ok das Admin Problem ist gelöst, ich musste mich einmal mit dem Admin Konto einloggen.
Lag das daran, dass die Hostliste neu angelegt wurde?

Wiederhol den Fix bitte, im abgesicherten Modus