Windows 10 / Installation von unerwünschten Programmen hört nicht auf/Defender geht nicht
 

Hallo,

ich habe mir heute wohl einen Trojaner gefangen.
Ich hatte versucht eine Buch herunterzuladen (Gemeinfrei - geht um was mittelalterliches, was es auch als doc-Dateien und/oder html-Format gibt/geben sollte).
Als ich die Datei mountete, ging auf einmal ein Installer los - ich dachte mir, dass etwas nicht korrekt ist und habe "cancel" geklickt.

Vermutlich hätte ich das über den Task Manager killen sollen, jedenfalls ging gleich Windows Defender los und schlug großen Alarm. Beim scannen fand er aber nur zwei Dateien. Quarantäne und Löschen half nichts - auf einmal wurden ständig weitere Programme installiert. angeblich Systemwartungssoftware und auf einmal was chinesisches.

Löschen konnte man nichts mehr (Angeblich m+uss ich dazu als Administratoren (wörtlich) eingeloggt sein, aber so ein User Account habe ich nicht, da bei mir alles auf Englisch läuft.

Habe schnell das internet ausgeschaltet (auch WiFi gekillt und de PC zugemacht. Über den Taskmanager konnte ich noch sehen, dass jede Menge komischer Sachen laufen.

Ich habe noch nie bei Windows 10 Probleme gehabt. Zum Glück habe ich noch einen alten PC. traue mich aber jetzt gar nicht, den befallenen Computer einfach wieder hochzufahren.
Wie gehe ich jetzt am besten vor? Wie kannich die empfohlenen Schritte (systemscann my FRSt, etc.) durchführen, ohne meinen Rechner wieder hochzufahren und online zu gehen? ich bin leider noch ein ziemlicher Windows 10-Newby.

Ich habe ein Lenova Yoga Pro, Windows 10, mit Anniversary Update, ursprünglich mal Windows 8.1.

ch hoffe, es kann mir jemand Helfen.

Vielen Dank im Voraus, Pirisitbulus

Datei mounten? :wtf:
Was genau hast du da gemacht?
mounten kann man nur Dateisysteme. Oder aber eben Dateien, die als Container dienen und ein filesystem eingebettet haben...das kennt man aber aus der Linux-Welt und nicht von Windows :kaffee:

Ich glaub du meinst: "Als ich die Datei per Doppelklick ausführte..."

Wenn ein Installer aufpoppte hast du tatsächlich kein Worddokument (*.doc) sondern irgendwas Ausfühbares heruntergeladen.


Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

kurze Frage - FRST und online?
 

Lieber Cosinus, vielen Dank,
kurze Frage:

Muss FRSTexe Zugriff auf das Internet haben?
Danke und LG,
Pirisitbulus

ja, sollte es

FRST Files
 

Beim Scannen konnte ich einige der Malware-Programme erkennen, weil sie shortcuts auf dem Desktop angelegt haben:

PC Spped up
MPC Cleaner

und Max Driver Updater startete.

Außerdem ging ein Fenster auf, das behauptewte Farbar Recovery Scan Tool Nutzer hätten auch weitere Software heruntergeladen... der Defender hat auch sobald die Internetverbindung da war, Alarm geschlagen...

Aber hier die beiden Files.

FRST.txt ist ca. 4500 Zeichen zu groß. Soll ich es aufspalten?

FRST.txt Teil 1:

Teil 2:

Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  Body Text Feathering
  
  Compress
  
  Lenovo Browser Guard
  
  trotux - Uninstall
  
  UC浏览器
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Vielen Dank,
auch hier wieder meine Frage: muss das Programm online?

Ich sehe, dass der befallene Rechner ständig versucht weitere Sachen zu unternehmen (z.B. Fenster geht auf, gibt sich als Lenovo Energy Manager aus, etc.).

Da würde ich es lieber über einem USB Stick installieren.

unsere tools brauchen idR einen Zugang ins Internet

OK, vielen Dank!
Ich habe Revo Uninstaller laufen lassen. keine Reste
Body Text Feathering keine Reste

Compress Reste gefunden, mehrmals alle ausgewählt und gelöscht, + Meldung „ausgewählte aber nicht entfernte Dateien werden beim nächsten Systemstart entfernt“
Lenovo Browser Guard keine Reste
trotux - Uninstall Reste gefunden, alle ausgewählt und gelöscht
UC浏览器hier musste ich zunächst neu starten, weil sich das Programm aufgehängt hatte und über Task Manager geschlossen werden musste. Reste gefunden, mehrfach alle ausgewählt und gelöscht, + Meldung „ausgewählte aber nicht entfernte Dateien werden beim nächsten Systemstart entfernt“. (Ein Shortcut in der Taskleiste ist immer noch da).

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

So, ich habe das Tool laufen lassen.

Ich habe es normal und nicht als Admin ausgeführt.
Beim ersten Durchlauf erschienen immer noch pop-ups wie "„Energy Manager User“ verwendeten noch weitere Apps , installieren", habe es immer weggeklickt.

Nach dem Neustart hatte ich war arabisches auf dem Desktop, der chinesische Link im Task Bar war weg, es gab und gibt weiterhin Shortcuts auf dem Desktop zu PC Spee Up und MPC Cleaner.

Beim zweiten Durchlauf von MBAR war ich nach dem ich die Datenbank aktualisiert und Scan geklickt hatte, kurz draussen, als ich wieder reinkam, hatte der PC neugestartet. Danach habe ich es erneut probiert.

Ein Installationsfenster für "Threadapp" ging auf, hab es weggeklickt, kurz nach dem Start von MBAR (nach dem Aktualisieren der Datenbank/bei Scan) trat ein Blue Screen Error auf.

Dann Neustart - Threadapp wegklicken - MBAR starten - blue screen

Danach Neustart - Threadapp - weggeklickt -> gewartet bluescreen.

Es kamen dabei immer Meldungen über resets der default apps für Bilder, MP3, MP4 etc.

Die Blue Screen Message ist PAGE_FAULT_IN_NON_PAGED_AREA

Daher habe ich keine Ahnung, ob der zweite Durchlauf erfolgt war, aber ich denke eher nicht.

Hier ist einstweilen das Logfile, vermutlich des ersten Durchlaufs:

MBAR wiederholen

Habe es mehrfach versucht ...
Aber immer bekomme ich nach ein paar Sekungen einen Blue Scree und der PC stürzt ab.
:-(

Dann bitte das hier:

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Nach mehreren Versuchen, mit Absturz wegen Blue Screen Error hat es geklappt.

Hier das Log in zwei Teilen, da zu lang:
Teil 1:

Teil 2:

TDSS-Killer erneut starten. Diesmal aber bitte nach dem Fund folgende entfernen:

deciqyguzbt
dowidoly
rijufoze
OTUTPRODUCT_VB7ZI

gemacht ... und als die Meldung über reboot zum Abschluss kam, ist er wieder mit Blue Screen abgestürzt

Hier das log, was er noch vorher angelegt hatte:

Teil 1:

Teil 2:
danach ist der pc wieder abgestürzt, blue screen, beim Starten kam die Meldung:

"your pc/device needs to be repaired.
the operating system couldnt be laoded because a critical system driver is missing or contains errors.

file:\\WINDOWS\system32\drivers\38963701.sys
Error code: 0x000007b

You'll need to use recovery tools ..."

Bootet Windows jetzt garnicht mehr?

Ja, es bootet nicht mehr (direkt).
Ich bekomme einen Bildschirm mit der Meldung:

"Recovery
Your PC/Device needs to be repaired

The operating system couldn't be loaded because a critical system driver is missing or contains errors.

File:\\WINDOWS\system32\drivers\38963701.sys
Error code 0x000007b

You'll need to use recovery tools. If you don't have any installation media (like a CD rom or USB device), contact your PC aministrator or PC/Device manufacturer

Press Enter to try again
Press F8 for Start-Up Settings
Press Esc for UEFI Firmware settings"

Einen USB Recovery Stick hab ich leider nicht.

Mit Esc komme ich ins Boot-Menu

Bei F8 bekomme ich folgende Auswahl (wählbar mit Funktionstasten oder Zahlblock):

1) Enable debugging
2) Enable boot logging
3) Enable low-resolution video
4) Enable Safe mode
5) Enable Safe mode with networking
6) Enable Safe mode with command prompt
7) Disable driver signature enforcement
8) Disable early launch anti-malware protection
9) Disable automatic restart after failure

Dann wurde dein System schon zu stark durch die malware beschädigt. Ob du jetzt unbedingt ein kaputtes System reparieren willst um es danach noch weiter zu bereinigen musst du wissen, ich halte das für baren Unfug, dann lieber Daten sichern und sauber neu installieren.

Ich denke, sichern und sauber neu installieren ist besser.

Fragt sich nur, wie ich das mache.
Ich habe einige Dateien im Dokumenten-Ordner etc., wie ziehe ich mir die auf eine externe Festplatte?

Ich habe den Key für meine Win 10 Installation - vermutlich kann ich mir da über das Internetz einen Bootstick erstellen.

Aber was ist mit den Lenovo-eigenen Treibern? Hierzu habe ich leider keinen Recovery-Stick oder ähnliches.
Auf dem Laptop ist eine Partition D mit Lenovo-Daten.

Wie gehe ich hier am besten vor?

Und - ich habe auf dem Rechner Thunderbird, one-Drive, Dropbox u.ä. - soll ich hier besser die Passwörter für alles (Email etc., Amazon (war grad in Firefox eingeloggt, als es losging)) ändern? Wie sehr muss ich mir sorgen machen, dass die Malware Dateien in Dropbox und Onedrive verändert hat?

Danke und LG,
Piristibulus

Live-Linux verwenden zB Ubuntu MATE im Ausprobiermodus. Dann alle Daten der Windows-Filesysteme auf ne externe Platte oder Stick kopieren.


Den wirst du wohl nicht brauchen, da für dieses System Windows 10 doch schonmal aktiviert war. Microsoft speichert die Aktivierung bei Windows 10 online und erkennt einen neu installierten Rechner auf dem schonmal W10 lief und auch aktiviert war. Hab ich bereits mehrmals gesehen und kann ich definitiv so bestätigen.


Ja und? :wtf:
Wenn was fehlt kann man immer noch bei Bedarf runterladen. Was wohl aber nur in Ausnahmefällen notwendig sein wird. W10 ist da schon sehr gut und selbstständig was das Holen/Installieren (richtiger) Treiber angeht.


Siehe oben. Lass und unbedingt die Flossen von Schlangenöl wie Treiber-Update-Wundertools. Windows macht es zu 99% selbst richtig.


Ja von einem sauberen System aus sind alle Passwörter zu ändern-

Vielen Dank!!!

Hast Du hierzu evtl. auch einen Link der das ganze Schritt für Schritt beschreibt?

Du wirst da zig Anleitungen im Netz selber zu finden. Aber fürden Einsteig empfehle ich immer den hier => https://wiki.ubuntuusers.de/Einsteiger/

Die grundlegenden Sachen sollte man nämlich schon wissen, sonst artet das in 1001 Missverständnissen und ner Menge Frust aus. :kaffee:

Daran hat aber Linux nicht die Schuld oder so, alles was man noch nicht kennt muss man erst lernen. :blabla: (dfas wäre bei Windows auch so wenn du zB nur Mac- oder Linux-User wärst)

Vielen Dank! Dann werde ich mal schmöckern und gucken, wie es alles so läuft :-)

Vielen vielen Dank!

Wenn du zu Linux wechseln willst kannst du das gene tun, wir haben auch hier nen eigenen Bereich dafür! :abklatsch:

Kurze Zwischenfrage: Ich hatte auch eine externe Festplatte am Laufen, als der Maleware-Befall begann.
Soll ich diese an einem anderen PC checken, für den Fall, dass die Malware sich dort in andere Dateien eingenistet hat, oder ist dies nicht notwendig?
Ebenso mit alten PDFs, doc-Dateien, etc., die auf dem befallenen Rechner im Dokumenten-Ordner liegen und mit Ubuntu kopiert werden können?

Danke im Voraus!

inclusive Windows System Daten? riskiere ich dann dabei nicht, dass ich irgendwelche Malware, die noch schlummert, mit rüberziehe?

Es geht um deine eigenen Dateien!
Irgendwelche Windows-Systemdateien zu sichern die bei einer Neuinstallation vom Setup eh neu aufgespielt werden ist ja wohl sinnfrei doch drei

Ich denke, dass werde ich bei Gelegenheit tun. Ich hab noch nen ollen PC rumstehen, da kann ich mich mal ein wenig damit vertraut machen.

Ganz ohne windows wirds bei mir zumindest in nächster Zeit nicht laufen, da ich auf einige Sachen angewiesen bin, die auf Linux noch nicht laufen...

Danke Dir! Ich wollte nur sicher gehen, lieber dreimal dumm nachfragen, als voreilig was machen, was hinterher dann nicht so toll ist...

erster Schritt erledigt.

Dann werde ich mal einen clean Install mit Windows 10 machen.

Kurze Fragen:

1. Kannst Du mir was empfehlen, um die gesichterten Daten (PDFs, Office-Dokumente, u.ä.), die jetzt auf einer externen Festplatte liegen, zu überrüfen - will nur sicher gehen, dass die diese Dateien nicht durch die Malware verändert wurden und der Spuk dann von neuem losgeht.

2. Gibt es hier auch eine Anweisung, für eine Neuinstallation von Windows10 incl. Hilfestellung, wie ich alle alten Dateien auf dem befallenen PC komplett "schrubbe", so dass nichts mehr von der Malware irgendwo übrig bleibt (die Chance, dass sie sich ins BIOS reingefressen haben kann ich ausschließen? Hoffe, die Frage ist nicht zu doof ...)


Vielen Dank im Voraus!

LG,
Piristibulus

Sodala,
Datensicherung, Neuinstallation von Windows 10 und Passwortänderung alles abgeschlossen.

Vielen lieben Dank, Cosinus, für die Hilfe.

War zwar überrascht, wie schnell bei der Neuinstallation von Windows 10 alles formatiert war, aber ich hoffe, alle Viren und Malwarereste sind mit allen anderen alten Daten zusammen weg.

Ich wäre Dir noch äußerst dankwar, wenn Du mir noch einen Tipp geben könntest, wie ich die geretteten Daten auf der externen Festplatte noch mal durchsuchen könnte, oder mache ich mir da zuviele Sorgen?

Ansonsten - ist Windows Defender plus Malwarebytes Anti-Maleware (plus CCleaner) bei Windows 10 ausreichend, oder sollte ich noch mal sowas wie Secunia mit draufpacken? Oder ein anderer Virenkiller außer Windows Defender?

Du meinstest weiter oben, Finger weg von Treiber-Update-Programmen ... Wie halte ich meine Treiber am Besten up-to-date?

Herzlichen Dank und beste Grüße,
Piristibulus

Ich denke du machst dir zu viele Sorgen, aber du kannst einfach mit ESET Online rübergehen. Wir haben dafür ne Anleitung, aber die ist für Kontrollscans bereinigter Systeme ausgelegt. Wenn du nur bestimmte Verzeichnisse scannen willst, entsprechend umstellen.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Vielen Dank,
hier das Log:

keine Funde, was willst du mehr

Wunderbar! Hab vielen Dank für Deine Hilfe!

Wie sollte ich bei Windows 10 für die Zukunft am Besten in Sachen Sicherheit fahren?

Windows Defender plus MBAM? Gibt's sonst noch was zu beachten?

Besten Dank und liebe Grüße,
Piristibulus

PS: Dass bei der Neuinstallation schon die Spracheinstellungen wie vorher (installierte Sprachen, non-unicode-language-Settings, etc.) drauf sind, hat damit zu tun, weil sich der PC meine microsoft-Konto-Einstellungen gemerkt hat?

Lieber Cosinus,
vielen herzlichen Dank für all die Hilfe.
Dann, denke ich, kann der Thread hier ja abgeschlossen werden!