Befall mit Antimalware Doctor und SecurityTool
 

Guten Abend liebe Trojaner-Boarder,

Gestern, am späten Nachmittag, habe ich mir wohl die beiden genannten Malwares eingefangen (Windows XP). Ich benutze meinen Laptop seit 5 Jahren, wirklich auskennen tu ich mich aber nicht damit. Da ich keinen zweiten PC habe, blieb mir nichts anderes übrig, als mit dem infizierten PC das Internet nach Lösungsanleitungen zu durchforsten und bin dann bei euch gelandet.

Ich habe dann nach einigen Schwierigkeiten rkill so oft geöffnet, bis die Malwares mich beim Starten des Computers in Ruhe gelassen haben (musste dafür schnell sein - noch während windows am hochfahren war). Davor durfte ich weder auf Systemsteuerung, noch Programmauswahl oder mein Virenprogramm AVG zugreifen, geschweigedenn Malwarebytes installieren oder öffnen, da die Malware das stets unterbunden hat ("Die und die Datei möchte Deine Kreditkarteninfos ausspionieren").

Nachdem beim Starten keine Meldungen mehr aufgepoppt sind, habe ich Malwarebytes über den Computer laufen lassen. Danach AVG. Dazwischen immer wieder mit CCleaner sauber gemacht (Temporäre Dateien und Registry).

Ich bin jetzt beim zweiten Durchgang mit Malwarebytes, habe zwischendurch den Computer nicht heruntergefahren. Immer wieder poppt auch wieder AVG auf, und meldet dass er wieder einen "neuen" Trojaner gefunden hat.

Ein paar Dateien .exe und .bat in lokale Einstellungen/temp habe ich mit Sweepi Slicer gelöscht, die eindeutig zur Malware gehört haben (Datum der Installation, Herkunft).

Neu Formatieren kann ich im Moment nicht, da mir die System-CD dafür fehlt.

Was würdet ihr mir als nächstes raten?

Habe mit dem Computer auch schon Internetbanking betrieben, natürlich nicht seit Malwarebefall, und habe auch keine Kennworter gespeichert. Sollte ich trotzdem Sicherungs-Schritte unternehmen?

Ich bin für jeden Hinweis dankbar!
Viele Grüße
katholumbien

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:
1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
CCleaner starten:
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Befall mit Antimalware Doctor und SecurityTool
 

Guten Abend,

ich habe gestern abend und heute morgen schon Malwarebytes und AVG scannen lassen, und sie haben eine Menge gefunden -> ab in die Quarantäne.

Jetzt habe ich eben Mylwarebyte und AVG zum zweiten Mal drüber laufen lassen, hier wie gewünscht die Ergebnisse:
----------------------------------------------------------------------
Mawarebyte:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 21:51:47
mbam-log-2010-09-14 (21-51-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 190492
Laufzeit: 1 Stunde(n), 0 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------------------------------------------------------
AVG:
Scan "Gesamten Computer scannen" wurde beendet.
Infektionen;"1";"1";"0"
Warnungen;"1";"1";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Dienstag, 14. September 2010, 21:53:27"
Scan beendet:;"Dienstag, 14. September 2010, 22:53:48 (1 Stunde(n) 20 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"232380"
Benutzer, der den Scan gestartet hat:;"xxx"

Infektionen
Datei;"Infektion";"Ergebnis"
C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp;"Trojaner: Generic19.MYI";"In Virenquarantäne verschoben"

Warnungen
Datei;"Infektion";"Ergebnis"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\msoxcwearn.tmp;"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp gefunden";"In Virenquarantäne verschoben"
--------------------------------------------------------------------

Werde nun die beginnen die ersten empfohlenen Schritte auszuführen, melde mich, falls ich Fragen habe.

Vielen Dank schonmal!

Gewünschte Daten im Anhang

Leider scheint meine hjtscanlist.txt Probleme zu machen, die Verbindung ist ständig getrennt, wenn ich verscuhe die Datei anzuhängen, reinzukopieren oder auch nur Teile reinzukopieren (einer ging, aber gleich der nächste Abschnitt war zu groß).

Gibt es noch ein Möglichkeit die Datei hier für Dich zu posten?

Editiert: Ich kann die Datei auch nicht als PN schicken

@katholumbien

gehe folgendermaßen vor: Logs als Anhang

Guten Morgen,

und vielen Dank Da Guru, das mit dem zippen hat problemlos geklappt.
Im Anhang die Daten!

Viele Grüße!

Guten Abend,

folgende Symptome treten zurzeit auf:

- Sporadisch öffnen sich Fenster, teils mit Werbung, teils öffnen sich Links zu Themen wie "Windows update Trojaner" auf ganz anderen Seiten (wo ich dubiose Links clicken soll)

- Außerdem zeigt der Browser "Verbindungsfehler" an ,sobald ich nur in die Nähe von Seiten zu Windows updates komme

Sonst ist egtl alles ruhig...

Anbei noch das Protokoll der ersten Reinigung mit malwarebyte

1.
unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen:
2.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
3.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

4.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
hjtscanlist v2.0 - Dateiliste

Hallo,

an Punkt 2 bin ich leider schon gescheitert: Ich habe auf Virus Total die betreffenden Dateien "hochgeladen", danach erschien der Hinweis "Sending File", und dann wieder die Startoberfläche der Website.

AVG sprang sofort auf die erste Datei an, und verschob sie in Quarantäne. Da die Analyse auch nicht funktioniert hat, als ich den Virus aus der Quarantäne auf den Desktop geholt habe, habe ich die anderen Dateien auch erstmal in Quarantäne gesteckt.

Ich habe zum Test eine harmlose Datei an Virus Total gesendet, da funktioniert die Analyse perfekt.

Soll ich mit den nächsten Schritten weitermachen?

Vielen Dank schonmal und viele Grüße

Gehe in den abgesicherten Modus [F8]
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "Abgesicherter Modus mit Netzwerktreibern " wählen)
und versuche die Dateien von dort prüfen lassen

- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort hast Du folgende Auswahlmöglichkeiten:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

wenn scheiterst daran, benenne die Dateien im "abgesicherten Modus" um in, dann so prüfen lassen:

Danke für den Tipp mit dem abgesicherten Modus - jetzt funktioniert es!
Folgende Ergebnisse für VirusTotal:

Bei VirusC, VirusD, und VirusE sagt VirusTotal, er hätte ihn schon analysiert. Hier trotzdem die Ergebnis:
Und hier der Scan von Gmer. Hat problemlos funktioniert.
[code]
GMER Logfile:
--- --- ---

RootRepeal-Datei ist angehängt. Bei Hidden und Stealth Objects hat er nichts gefunden. Ich hoffe, das ist ein gutes Zeichen?

So, uns hier noch die hjtscanlist im Anhang.

Und wie geht es jetzt weiter?

Vielen Dank!!
Und einen schönen Abend....

Tut mir Leid - sehe gerade, dass ich gestern schon wieder nicht dran gedacht habe, die Datei zu zippen. Hier jetzt also dia HJTscanlist

Viele Grüße - katholumbien

1.
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.
Lade ComboFix von einen dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware
* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit "Speichern unter" auf dem Desktop. Gib an "Alle Dateien" - Speichern:

solltest Du dann auf dem Desktop diese Datei cfscript.txt finden
http://img.photobucket.com/albums/v7...FScriptB-4.gif
in bezug auf das obige bild, ziehe das CFScript in die combofix.exe hinein. wenn CF fertig ist, wird es eine Logdatei unter C:\ComboFix.txt erstellen, poste den inhalt.
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt - Warte, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint!
Bitte füge es hier als nächste Antwort ein.

4.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Hallo,

ich war gestern nicht daheim, deshalb geht es erst heute weiter.

eMule und Kazaa habe ich seit mindestens zwei Jahren nicht mehr genutzt, und ich dachte auch, sie seien nicht mehr installiert. Gibt es irgendwo noch Reste, die ich beseitigen kann/sollte?

Nun zur Aufgabe mit Combo Fix.
Bevor ich Combo Fix ausgeführt habe, habe ich bei der AVG Benutzeroberfläche auf "beenden" geklickt, rechtsklick auf die Leiste funktioniert nicht. Aber Combo Fix wies mich darauf hin, dass das Programm immernoch läuft. Ich scheine AVG nicht mehr beenden zu können. Deinstallieren funktioniert auch nicht, AVG meldet, dass das System nicht installiert sei. Und als ich versucht habe, den AVG Remover runterzuladen und auszuführen, hieß es "ist keine win32 ausführbare Datei", oder so ähnlich...

Wie krieg ich AVG wieder in Ordnung?
Soll ich ComboFix trotzdem laufen lassen?

Vielen Dank!
katholumbien

...noch eine Frage:

Wenn AVG meinen Computer vollständig scant, findet er mittlerweile diese 5 Übeltäter, die ich egtl mit combofix killen sollte. Reicht es, wenn ich die Trojaner mit AVG in Quarantäne stecke und dann entferne? Oder macht AVG das nicht anständig, und sie kommen zurück?

Ich bin für jedes bisschen Aufklärung dankbar!
Wie wunderbar, dass es so ein Forum gibt..!

Grüße,
katholumbien