Ich bin Opfer eines Bitcoin Mining-Netzes
 

Nabend Zusammen,

ich hab ein schwerwiegendes Problem. Ich bin, Gott weiß wie, opfer eines Bitcoin Netzes geworden. Zu dem Schluss bin ich nach ausgiebiger Recherche gekommen.
Nun aber mal wie alles begann:

Die ersten Anzeichen traten am 13.12. auf. Mein Computer zeigte mir beim Herunterfahren an, dass Windows neue Updates zur Installtion bei Neustart hätte. Ich also neugestartet, und ab da fing der Spaß an.
Ich konnte:
Keine Musik mehr hören, sämtlich Abspielprogramme gaben den Geist auf, also hingen von Start an
Skype brauchte Ewigkeiten zum Starten, manchmal ging es garnicht
Filme und Serien streamen auf Watchever (Ein legaler und bezahlpflichtiger Streamdienst, keine Sorge ;) ) ging garnicht mehr.

Daraufhin dachte ich mir, einfach nochmal neustarten, dann hat sich das wieser. Auch hier kamen wieder angebliche Windowsupdates.

Nachdem ich mit einem Freund gesprochen hatte, dass seit der Updates nichtsmehr ginge, frug er mich, welche Updates. Da kam dann der erste Verdacht auf.

Logische Schlussfolgerung, Avast sollte einen Vollständigen Check durchführen.
Fehlanzeige, Avast ist deaktiviert, lässt sich nicht aktivieren und die Registrierung ist angeblich abgelaufen. Auf meinem Avast Konto im Browser wird angezeigt, dass keine Verbindung zum Client besteht.

Daraufhin wollte ich Mal Spybot und den Kaspersky Security Scan drüberlaufen lassen, unmöglich da die Zeildateien der Verknüpfungen gelöscht und der Zugang zu den Installationsordner verweigert wurde.

Daraufhin habe ich ein neues Setup zu Spybot, als HijackThis runtergeladen, beim Öffnen erscheint jedoch die Meldung "Falscher Parameter" (Werde ich als Grafik anhängen.

Zudem erschien bei jedem Hochfahren eine Meldung, C:\.......\*.vbs konnte nicht gefunden werden.

Das lies mich zuerst auf den Wurm VBS/Sasan.A.2 schließen.
Ungewöhnlich war jedoch dass ich keine Verdächtige autorun.inf finden konnte.

Dann habe ch meinen Rechner mal auf Sämtliche *.exe untersucht, und nach Datum sortiert.
Hier habe ich 2 Dateien gefunden (Wieder im Bild), welche sich nicht bei Dr.Web hochladen ließen, da sie angeblich in Benutzung sein.
Im Taskmanager sind jedoch keine Prozesse mit diesen Namen zu finden. Auch der Dateipfad ließ sich nur Über Umwege herausfinden. Dort fand ich jedoch eine Datei namens Window.ini, mit dem Inhalt: *stratum+tcp://world.wemineltc.com:3335*deraj.1*x*
Diese Seite wemineltc beinhaltet anleitungen zum minen Von Bitcoins.

Jetzt meine Frage:
Wie zum Geier werde ich den Mist los?

Ich würde mich über sämtliche Antworten freuen. Fragen nach screens oder ähnlichem werde ich natürlich gerne beantworten.

Danke schonmal im Vorraus

Stephan


P.S. Ich habe gerade eine Datei in meinem Download-Verlauf gefnden, mit der dubiosen Quelle anonymousdelivers.us. Diese hab ich mal auf Dr.Web hochgeladen, angeblich ist die Datei sauber, es sind mehrere merkwürdige dateien drinnen, Screen kommt in den Anhang. LG

P.P.S. Die nächste neue Erkenntnis: Im Taskmanager mal die Prozesse nach CPU-Auslastung sortiert, auf einen mit ca 70 % gefunden, name und Beschreibung wieder mal im Anhang. Gute nacht ;)

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Auch hier das gleich Spiel. Kann aufgrund falscher Parameter nicht geöffnet werden, siehe "Parameter.png" im Anhang

Dann von aussen:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Dann werde ich das jetzt gleich mal machen.
Ich habe aus Angst, dass es das verschlimmert meinen Rechner nicht heruntergefahren, das hat er dafür in der Nacht scheinbar von selbst gemacht und wieder "Updates" installiert.
Nun läuft im Taskmanager auch eine wscript.exe, und besagte msconfig die im gleichen Ordner war wie die cvtres.exe.

Das Log werde ich gleich zur Verfügung stellen

Gruß Stephan

EDIT: Das muss warten, ich habe gerader keinen Stick / bzw Windows CD im Haus, meine Mutter hat sich ersteres gestern ausgeliehen...

ok :)