Windows 10: mögliche Infektion durch USB-Stick (Manuel.doc/Forbix.A?)
 

Hallo,

folgendes Szenario: Mein USB-Stick wurde in der Uni an einen PC angeschlossen und dort wahrscheinlich (zunächst unbemerkt) mit einem Wurm infiziert. Alle Dateien wurden mit den flags "system" und "hidden" entsprechend versteckt, zurück blieben nur noch Dateiverknüfungen, die mit dem Startbefehl via VBS versuchen, Schadcode aus einer "Manuel.doc" auf dem Stick auszuführen. Nach Anschluss am heimischen PC habe ich Depp natürlich erst mal verwundert auf eine der Verknüpfungen geklickt.

Auftritt: Comodo, das den Zugriff blockiert und die Datei nach Nachfrage in die Quarantäne geschoben hat (siehe Log). Insofern ist das VBS-Skript, soweit ich es erkennen kann, nicht zur Ausführung gekommen. Der Stick wurde mit Rem-VBSworm-Tool entsprechend der hier verfügbaren Anleitung gesäubert und dann zur Sicherheit formatiert.

Die Frage ist nun: Ist nicht doch etwas durchgekommen? Wurde eine Backdoor installiert? Da ich das System produktiv nutze und beruflich darauf angewiesen bin, wäre es nett, hier professionelle Hilfe zu bekommen. Soweit ich das mit meinem Kenntnissstand erkennen kann, wurde das Schlimmste noch einmal verhindert - aber ich möchte auf Nummer sicher gehen.

Besten Dank!

Logfiles:

Comodo
FRST (mit '*****' anonymisiert)

FRST Logfile:
--- --- ---

Addition, Teil 1 (mit '*****' teilweise anonymisiert)

Addition, Teil 2 (mit '*****' teilweise anonymisiert)

Dein Thread wurde nicht bearbeitet, weil du dir selbst geantwortet hast, wir bearbeiten primär nur unbeantwortete Themen - brauchst du noch Hilfe?

Hallo cosinus,

ohne spitzfindig sein zu wollen: Meine Frage im Eingangspost lautete: "Ist nicht doch etwas durchgekommen? Wurde eine Backdoor installiert? Da ich das System produktiv nutze und beruflich darauf angewiesen bin, wäre es nett, hier professionelle Hilfe zu bekommen. Soweit ich das mit meinem Kenntnissstand erkennen kann, wurde das Schlimmste noch einmal verhindert - aber ich möchte auf Nummer sicher gehen." (Herv. ergänzt)

Insofern wäre es schön, wenn jemand mit mehr Expertise über die geposteten Logs schauen könnte bzw. ggf. weitere Infos zum Schädling liefern kann. Konkrete Probleme (merkwürdiges Verhalten etc.) am Rechner liegen nicht vor, aber an anderer Stelle liest man ja hier im Forum, dass das kein Indikator für eine Sauberkeit des Systems sei.

Besten Dank!

Ich hab deine Postings schon gelesen. Dennoch wirst du wohl sicherlich verstehen können, dass ich nach knapp zwei Wochen erstmal wissen will, ob du überhaupt noch Hilfe willst/brauchst. Wer beruflich auf sowas dringend angewiesen ist, wird nämlich normalerweise einen Vor-Ort-Service beauftragen oder seine Kollegen aus der Abteilung EDV kontaktieren.

Beachte unsere Regeln bzgl gewerblich genutzter Rechner. => http://www.trojaner-board.de/108422-...-anfragen.html

Ich hab deine Postings schon gelesen. Dennoch wirst du wohl sicherlich verstehen können, dass ich nach knapp zwei Wochen erstmal wissen will, ob du überhaupt noch Hilfe willst/brauchst. Wer beruflich auf sowas dringend angewiesen ist, wird nämlich normalerweise einen Vor-Ort-Service beauftragen oder seine Kollegen aus der Abteilung EDV kontaktieren.

Beachte unsere Regeln bzgl gewerblich genutzter Rechner. => http://www.trojaner-board.de/108422-...-anfragen.html

Klar, kann ich nachvollziehen. Bzgl. gewerblich genutztem Rechner: Das ist mein privater Rechner, der jedoch auch für berufliche Zwecke (zuhause) genutzt wird. Also nichts gewerbliches, kein Uni-Rechner o.Ä.

1. Schritt: Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




2. Schritt: Kaspersky TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Scans wie angegeben durchgeführt; anbei die Logs:

MBAR:

TDSS:

Ich würde dir dringend empfehlen, COMODO zu deinstallieren und nie wieder zu verwenden. Was die da mit den Alternate Data Streams treiben ist echt nicht mehr schön. Zudem wurde noch nie eine andere Firewall als die Windows-Firewall empfohlen, 3rd Pary Firewallsoftware die dirkt auf dem Windows-Rechner installiert wird ist immer kontraproduktiv und belastet das System.

Wenn wir hier durch sind gibt es Empfehlungen zu besserer AV-Software.

Hallo cosinus,

die Empfehlung habe ich zur Kenntnis genommen. Wie geht es nun weiter?

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

adwCleaner-Log:

JRT-Log:

Nicht, dass ich den IE nutzen würde, aber warum entfernt JRT startpage.com als Standardsuchmaschine?

Wir haben leider noch ne ältere Anleitung vom adwCleaner, bitte nochmal ausführen und so einstellen:

http://saved.im/mtg4nzk1egdo/malware...r-settings.png