MyDirtyHobby.de Rechnung.zip geöffnet
 

Hallo
Meine Freundin hat an meinem PC den Anhang einer mail von mydirtyhobby.de geöffnet.
Sie vermutete natürlich, dass ich hier etwas zu verheimlichen hätte.:schrei:
Ob Sie danach das .com file gestartet hat was sich in der 2fach gezippten mail versteckt, weiß sie nicht mehr :stirn:
Mein antivir hat nichts gefunden. Bitdefender online scan hat nichts gefunden. Ich habe das mail an meinen Firmenrechner weitergeleitet auf dem McAffee läuft - er findet ebenfalls nichts in dem "Mydirtyhobby...Rechnung.com" file.
Was kann ich tun? Kann das jemand analysieren?

Vielen Dank :dankeschoen:
Mit freundlichen Grüßen
Freddy

Hi Freddy,

Na diesen Anhang müssen wir nicht gross analysieren, der ist sowieso verseucht.
Dass es von den Virenscannern nicht erkannt wurde, zeigt nur, dass man sich auf keinen Fall blind auf sie verlassen darf, sondern selbst noch ein bisschen mitdenken muss.
(Mittlerweile sollte der Bitdefender die Datei aber erkennen, ich habe es gerade schnell zum Check hochgeladen.)

Was wir aber untersuchen sollten, ist dein Rechner, da deine misstrauische Freundin ja nicht mehr sicher sagen kann, ob sie das Ding ausgeführt hat oder nicht.



Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Hallo
Habe jetzt alle so aussgeführt.
Leider wurde der Beitrag zu lang - daher die logs als Anhang.
gmer zweimal weil ich es erst nicht "Als Administrator ausführen" gemacht habe (Ich bin aber als Administrator angemeldet gewesen) da gab es dann Thread einträge.
Als ich es dann richtig wie in deiner Anleitung beschrieben nochmal gemacht habe waren die Threads verschwunden.


Inzwischen hat auch Antivir nach eienm update in dem file was gefunden was gefunden und zwar:
TR/Fukjoor.B - google findet dazu aber nichts.
Jetzt lasse ich noch mal eine komplette Systemprüfung mit Antivir laufen.

Was mir noch aufgefallen ist:
Dass nach Schritt 2 der reboot beim runterfahren ewig brauchte und in einem Absturz endete. Leider bleibt das jetzt auch so, dass es bei jedem runterfahren einen dump provoziert.
Außerdem ist Antivir beim update abgestürzt - beim zweiten mal ging es dann.

Im Microsoft Minidump ist u.a. folgendes im Klartext zu lesen - keine Ahnung ob man damit was anfangen kann bzw. ob das was bedeutsames ist:
Danke nochmal für die schnelle Hilfe
Freddy

Hallo Freddy,

schauen wir noch was an.


Schritt 1

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

• Starte die TDSSKiller.exe.
• Drücke Start Scan.
• Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von TDSSKiller

Hallo

Hier ist das log von TDSKiller. Eine Frage hätte ich auch noch. Kannst du eine Internet Security Suite empfehlen. Bisher hatte ich mir sowas gespart da ich einigermaßen vorsichtig bin im Internet (Meine Freundin sagt paranoid ;-). Jetzt gehen aber immer öfter auch meine Kinder an den Rechner und nicht zuletzt diese Erfahrung bringen mich dazu jetzt dochmal in etwas möglichst idiotensicheres zu investieren (ich weiß, dass es das nicht gibt, daher auch "möglichst").

Danke und Gruß
Freddy

Hallo,

das mit dem idiotensicher ist halt so eine Sache.. Wirklich idiotensicher ist nur, den Stecker zu ziehen.. Wir können das zum Schluss nochmals anschauen, ok?
Denn da sitzt noch was drin bei dir, wir müssen weitermachen:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von OTL

Hallo Leo

Hier die nächsten logs.

wieder als Anhang da über 120000 Zeichen.

Ob das wirklich alles notwendig war, was combofix weggehauen hat?

Gestern ist mir noch aufgefallen, dass mein cardreader fürs banking nicht mehr funktioniert (kein Treiber mehr installiert) - kann das mit defogger zusammenhängen?

Auch wenn du es ggf. schon öfter gehört hast - ich finde eure Arbeit wirklich extrem bewundernswert und werde mich auch noch per paypal erkenntlich zeigen.

Danke und Gruß
Freddy

Hallo Freddy,

das mit deinem Cardreader kann ich grad auch nicht sagen. Warte mal noch ab, wie die Situation ist, wenn wir hier fertig sind.

Da hat Combofix wohl etwas gegen HP.. ;)
Das kann ich aber leicht rückgängig machen. Poste mir bitte den Inhalt der Datei C:\Qoobox\ComboFix-quarantined-files.txt.

Ebenfalls zu lang, daher wieder als Anhang:

Ok, dann mach bitte Folgendes und teile mir dann mit, ob die beiden Ordner wiederhergestellt sind. Dann können wir danach weitermachen.


Schritt 1

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschliesslich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link.
• Speichere es erneut auf den Desktop (wichtig!).
• Drücke die {Windows} + R Taste, schreibe notepad in das Ausführen Fenster und drücke OK.
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  DeQuarantine::
C:\Qoobox\Quarantine\C\ProgramData\HP
C:\Qoobox\Quarantine\C\users\RB\AppData\Roaming\HP
Quit::

  ---

• Speichere dies als CFScript.txt auf deinen Desktop.
• Wichtig: Stelle deine Antiviren-Software temporär ab. Diese kann ComboFix bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schliesse alle anderen laufenden Programme, damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hallo Leo
erledigt - die beiden Ordner samt Inhalt sind da. Nach dem Lauf von Combofix gab es erstmal das Phänomen dass ich weder mit meinem mail-client noch mit einem Browser verbindung ins Internet bekam und das obwohl ich in einer DOSbox verschiedenste domains mit nslookup auflösen konnte. Windows-Netwerkproblemerkennung erkannte kein Problem. Nach einem reboot ging es wieder.
Gruß
Freddy

Hallo Freddy,

sieht eigentlich gut aus. Noch eine Kontrolle.
Wie läuft der Rechner?


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hallo Leo

Freut mich zu hören. Der Rechner läuft soweit stabil und das Problem beim Runterfahren ist auch wieder weg.

Hier die Logs
OTL
Malwarebytes
ESET keine Funde

und Security check (der Antivir-Echtzeitscanner war noch deaktiviert beim scan)
Gruß
Freddy

Hallo Freddy,

prima, dann sind wir durch und es bleiben nur noch die Updates und das Aufräumen.


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 17.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 2

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Falls zu Beginn defogger verwendet wurde, dann starte defogger und drücke den Button Re-enable.
2. Falls Combofix eingesetzt wurde, dann deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.
3. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
4. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
5. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
6. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hallo Leo

Super - alles erledigt
Nochmals Danke - Rechner läuft stabil -Spende ist raus.
Chipkartenleser ging zwischenzeitlich - jetzt gerade wieder nicht aber das bekomme ich auch noch hin.

Tschüß
Reinhard