Kaspersky findet Backdoor.Win32.Androm.cue
 

Hallo,

leider bin ich auf eine gefälschte Telekom-Rechnung hereingefallen. Die Mail sah exakt so aus wie die monatliche Original-Rechnung. Es hätte mir auffallen müssen, dass der Anhang nicht so wie sonst eine pdf-Datei sondern eine zip-Datei war. Nach dem Doppelklick auf die Datei tat sich sichtbar nichts. Dann erst erkannte ich meinen Fehler.

Ein Full-Scan meines Rechners, Windows 7, Service Pack 1, mit Kaspersky Version 8.1.0.831, aktuelle Datenbanken, findet als Ergebnis:

Schädliches Objekt wurde gefunden
Ergebnis: Backdoor.Win32.Androm.cue
Objekt: C:\Documents and Settings\TomWSch\AppData\Local\Temp1_2013_10rechnung_9944135797.zip\2013_10rechnung_7409598302.pdf.exe

Ein simpler Zugriff mit dem Windows-Explorer auf die Datei
C:\Documents and Settings\TomWSch\AppData\Local\Temp1_2013_10rechnung_9944135797.zip
ist nicht möglich.

Unter den Berichten, die Kaspersky erzeugt, gibt es den Bericht "Web-Anti-Virus". Hier ist zu sehen, dass alle fünf Minuten zweimal eine Installation versucht wird. Die jeweilige Zeile lautet dann:
Ereignisdatum: <Datum/Uhrzeit>
Bezeichnung: Verboten
Programm: Windows(r)Installer
Ergebnis: Verboten:DFDFD25B6900A1D5 (mit der Datenbank für verdächtige Webadressen untersuchen)
Objekt: hxxp://dotier.net/zeta.php


Mir ist nicht klar, welchen Zustand mein Rechner nun hat. Es macht auf mich den Eindruck, als hätte ich mir einen Trojaner eingefangen, der aber auf meinem Rechner noch nicht aktiv ist.

Habe ich Recht? Und wie werde ich den Schädling wieder vollständig los?

Vielen Dank schon jetzt an alle, die mir helfen wollen
Tom

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo Bootsektor,

schon mal vielen Dank, dass Du Dich um mein Problems kümmerst.

Bis bald
Tom

Hallo Tom
Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein. Genaueres kann ich Dir erst nach den Scans sagen.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst dann stoppe mit Deiner Auführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!




Schritt 3
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Sandra,

alle von Dir beschriebenen Schritte sind bei meinem Rechner fehlerfrei durchgelaufen.

Hier sind nun die angegebenen Codes:

defogger_disable.log

gmer.txt
FRST.txt

FRST Logfile:
--- --- ---


Addition.txt
Viel Erfolg bei der Suche
Tom

Hallo Tom,
seit wann hast Du diese Web-Antivirus-Meldungen von Kaspersky? Sind die neu?

Schritt 1
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

die Kaspersky-Meldung ist zwar vom 08.10.2013, ca. 17:00 Uhr, und somit bereits einige Tage her. Defacto ist dies aber vorgestern, da ich vom 09. bis 19.10.2013 nicht in D war und in dieser Zeit der Rechner vollkommen stromlos war.

Gestern habe ich allerdings mir den in meinem ersten Post beschriebenen Bericht von Kaspersky noch einmal angesehen. Auch gestern versucht wohl der Trojaner sich im Fünf-Minuten-Rhythmus zu installieren.

Die jeweilige Zeile im Bericht lautet auch gestern:
Ereignisdatum: <Datum/Uhrzeit>
Bezeichnung: Verboten
Programm: Windows(r)Installer
Ergebnis: VerbotenFDFD25B6900A1D5 (mit der Datenbank für verdächtige Webadressen untersuchen)
Objekt: hxxp://dotier.net/zeta.php

Gerne führe ich noch die beiden beschriebenen Schritte durch, kann dies aber erst heute am späten Abend erledigen.

Tom

Hallo Sandra,

... und hier jetzt die benötigten Log-Dateien.

Combofix.txt

FRST.txt

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---



Grüße
Tom

Hallo Tom,
gut gemacht.
Hast Du die Warnungen von Kaspersky nach dem ComboFix-Scan immer noch?
Ich muss nochmal genauer nachschauen. Dazu:

Schritt 1
Downloade Dir von hier HitmanPro

• Führe die Datei aus.
• Setze den Haken bei "Nein, ich möchte nur einen Einmalscan zur Überprüfung des Computers ausführen"
• Wenn HitmanPro den Scan beendet hat, klicke auf Logdatei erstellen, HitmanPro speichert diese Datei im gleichen Verzeichnis aus dem es lief.
• Wichtig! Klicke nun auf Schließen und nicht auf Weiter.
• Poste die LogDatei hier in Deinen Thread.

Hallo Sandra,

heute habe ich zunächst noch einmal eine vollständige Untersuchung meines Rechners mit dem Kaspersky durchgeführt. Das ermutigende Ergebnis lautet:
Untersuchte Objekte: 539483, Es wurden keine Bedrohungen erkannt

Und der Kaspersky-Bericht "Web-Anti-Virus" hat keinen Eintrag mehr. Das bisher alle fünf Minuten zweimal angezeigte Ereignis einer versuchten Installation wird nicht mehr angezeigt.

Trotzdem habe ich anschließend HitmanPro ausgeführt. Das Ergebnis in der Datei HitmanPro_20131022_2235.log lautet:


Hat ComboFix mein Problem gelöst?

Falls Deine Antwort "Ja" lautet, habe ich noch folgende Fragen.
Ich möchte gerne wissen, was ich bzgl. der Analyse-Werkzeuge machen soll.

Ich habe ja die Programme
Defogger.exe
gmer_2.1.19163.exe
FRST64.exe
ComboFix.exe
hitmanpro_x64.exe
heruntergeladen und ausgeführt.

Haben diese Programme eine Einstellungsänderung bei meinem Rechner vorgenommen, die rückgängig gemacht werden muss?
(Hat Defogger etwas an meinem DVD-Laufwerk geändert?)
Können die Programme und deren Logfiles einfach gelöscht werden oder muss etwas deinstalliert werden?

Grüße
Tom

Hallo Tom,
das ist sehr gut. Ja, Combofix hat gut gearbeitet.
Die Tools deinstallieren wir am Schluss der Bereinigung, keine Sorge. Defogger hat nichts an Deinem Laufwerk geändert. Wieso? Hast Du damit aktuell Probleme? Aber wir sind auch noch nicht ganz fertig hier. Du hast da ein bißchen Adware auf dem Rechner, die wir noch entfernen müssen.

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

schön dass wir schon einen guten Stand erreicht haben.

Zum Thema Defogger: ich meinte nur gelesen zu haben, dass der Defogger ein DVD-Laufwerk inaktiv setzt. Wenn dem nicht so ist, umso besser.

Und hier jetzt die Codes:

AdwCleaner[S0].txt
AdwCleaner Logfile:
--- --- ---

[/CODE]


JRT.txt

FRST.txt

FRST Logfile:
--- --- ---


Grüße
Tom

Hallo Tom,
noch ein paar Fragen, die Meldungen von Kaspersky bezüglich der Verbindungsversuche, waren die vor oder nach dem Anklicken der .zip Datei. Und hast Du nur die .zip Datei angeklickt, oder dann auch noch die .exe ausgeführt? Was hast du im CombofixLog geändert? Falls Du Deinen Namen editiert hast, musst Du für den Upload bei VirusTotal Deinen Namen exakt wieder so einfügen, ansonsten werden die Dateien nicht gefunden. Und zum Schluss, wie geht es Deinem Rechner, alles gut soweit?
Ich muss eine genauere Analyse der gelöschten Datei von Combofix haben, dazu mache bitte folgendes:

Schritt 1
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  C:\Qoobox\Quarantine\C\users\TomWSch\AppData\Local\Temp\7zS1A95\HPSLPSVC64.DLL.vir

  ---

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

vielen Dank für Deine bisherige Mühe. Leider komme ich heute nicht dazu, mich weiter um den Rechner zu kümmern. Ich melde mich spätestens am Samstag wieder.

Grüße
Tom

Hallo Sandra,

die Meldungen von Kaspersky bezüglich der Verbindungsversuche sind mir zum ersten Mal nach dem Anklicken der .zip-Datei aufgefallen.

Wahrscheinlich glücklicherweise habe ich nur die .zip-Datei per Doppelklick gestartet. Es öffnete sich nicht die von mir erwartete Telekom-Rechnung und auch kein Inhaltsverzeichnis einer .zip-Datei. Folglich gab es auch keine .exe-Datei, die ich ausgeführt habe.

Zunächst habe ich nun im CombofixLog meinen Namen wieder eingefügt und dann Virustotal wie beschrieben genutzt.

Der Link aus der Adresszeile lautet:

Und hier die Datei mbam-log-2013-10-25 (17-47-47).txt

ESET habe ich noch nicht durchgeführt, weil ich hier noch einmal nachfragen möchte. Ist es richtig, dass hier ein Online-Scan durchgeführt werden soll mit ausgeschaltetem Virenschutz? Bisher habe ich immer, wenn das Ausschalten des Virenscanners gefordert worden ist, vorher mein Netzwerk-Kabel abgezogen, um ganz sicher vom Internet getrennt zu sein. Dies scheint ja hier nicht zu gehen. Ich halte dies für ein Risiko. Bitte erläutere mir die Vorgehensweise und ob wir auf diesen Schritt evtl. verzichten können.


FRST.txt

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

[/CODE]


Und zum Schluss, meinem Rechner scheint es gut zu gehen. Kein eigenartiges Verhalten, keine Verzögerungen, keine für mich sichtbare Einschränkung. Nach dem Lauf von Combo Fix habe ich wieder angefangen, meinen Rechner vorsichtig zu nutzen, auch im Internet und durch Nutzung des Mail-Programms Thunderbird.

Grüße
Tom

Hallo Tom,
ESET ist ein OnlineScanner, er benötigt eine Internetverbindung um scannen zu können, da passiert nichts, wenn Du sonst nichts am PC machst, keine Sorge und es ist wichtig, dass er Deinen Rechner scannt.

Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 2
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

vielen Dank für Deine Antwort und die viele Mühe, die Du Dir bisher schon mit der Behebung meines Trojaner-Problems gemacht hast.

Trotzdem möchte ich Dir in Bezug auf ESET nicht folgen. Einem externen Programm über Stunden Kontrolle über meinen Rechner zu geben, und das auch noch, ohne durch einen Viren-Scanner geschützt zu sein, entspricht in keinem Fall meinen Sicherheitsvorstellungen. Auch wenn es mich mit der gefälschten Telekom-Rechnung zum ersten Mal erwischt hat, bezüglich Sicherheit stelle ich an mich hohe Anforderungen.

Und da reicht mir Deine Aussage nicht, es sei wichtig und ich möge mir keine Sorgen machen.

Ich möchte also auf einen Online-Scan verzichten. Gibt es eine Alternative? Ist nach den bisherigen auch von mir verfolgten Prüfungen mein Rechner nicht schon ohne Schädling? Wieviele Prüfungen sind noch erforderlich? Und wirst Du mir noch Unterstützung geben, wie ich die Prüfprogramme wieder los werde?

Grüße
Tom