Viele "Viren" gefunden: TR/Crypt.XPACK.Gen, TR/Drop.Softomat.AN und EXP/CVE-2010-2568.A
 

Hallo Leute!

Ich bin mir nicht ganz sicher ob das im Titel alle sind (grade gefunden: HTML/Rce.Gen) . Es ging ganz schnell, gestern einen falschen Stream-link geklickt und sofort war ich verseucht.

Ich habe hier im Forum zu verschiedenen Trojaner Threats gelesen und daher Logfiles erstellt.
Malwarebytes hatte ich seit dem Fund öfters laufen um zu gucken ob etwas erfolg hat. die anderen Logs habe ich je einmal gemacht.

Ich hoffe ich habe nicht zuviel verkehrt gemacht und ich hoffe auch es nimmt sich einer meines Problems an. Ich gebe gerne alle Auskünfte, die ich als PC-Unwissender geben kann.

Vielen Dank für lesen,
lieben Gruß Schleuder



EDIT: CCCleaner habe ich auch einmal laufen lassen, nach der Anleitung hier... Also auch einmal "gefixt"

Hallo und :hallo:

Bitte ZoneAlarm deinstallieren, das kann uns bei der bereinigung stören und außerdem ist es auch für den normalen Betrieb eher kontraproduktiv.

Beende nach der Deinstalltion von ZoneAlarm alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo cosinus!

Erstmal tausend dank für die ersten Anweisungen! Freut mich riesig, dass es so schnell ging! Ich werde die empfohlenen Schritte sofort unternehmen, allerdings muss ich jetzt bis sonntag auf reisen und werde mich sonntag wieder hier melden!

DANKE!

Hallo!

Alles nach vorgabe erfüllt!

Logfile im Anhang!

:dankeschoen:

Hijackthis logfile aktuell:

HiJackthis Logfile:
--- --- ---

Wieso eigentlich nur SP2/IE7? Das SP3 und der IE8 sind schon über zwei jahre verfügbar! Denk dran, dass ein nicht aktuelles Windows ein hervorragender Nährboden für jede Art von Schädlingen ist!
Wenn wir durch sind mit der Bereinigung musst du umgehend die Kiste updaten, ich poste dann noch Instruktionen dazu.

Ja mach ich dann sofort, der grund dafür ist übrigens häufiges umziehen, wodurch mein "standrechner" einige Zeit Brach lag!

Dummes Versäumnis von mir!

Wie gehts weiter?


Edit: IE nutze ich garnicht und wusste auch nicht, dass der noch drauf ist... surfe nur mit Firefox

Den IE kann man nicht deinstallieren, er ist integraler Bestandteil von Windows! Auch bei Nichtbenutzung muss der IE immer aktuell gehalten werden!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

und das kam dabei rum:


Combofix Logfile:
--- --- ---

Ich würde an dieser stelle auch gerne nochmal kurz den Zustand beschreiben der aktuell noch vorliegt - der Guard von Antivir meldet ca alle 3min mind 4 Viren:
Dabei handelt es sich immer um:
Copy of Shortcut to (1 bis 4).Ink Fund: EXP/CVE-2010-2568.A

Die habe ich jetzt auch schon 20zig mal in Quarantäne geschoben und dann gelöscht.

Wenn ich darauf nicht mit entfernen reagiere, sondern garnichts mache... afk sozusagen und wiederkomme hat sich die anzahl der viren schnell mehr als verhundertfacht. Hunderte ".exe" mit sinnlosen zeichen sind in der Zeit von Trojanern (meist TR/Crypt.XPACK.Gen) scheinbar erstellt worden.

Ich hoffe diese Infos helfen uns noch weiter!

Die Pfadangaben fehlen...

Hallo nochmal!

Also
1. Der Pfad ist interessanterweise ein USB-Stick ( H: ). Den habe ich allerdings erst benutzt gehabt als nach dem Virenbefall mein Firefox ständig nicht mehr funktionierte um mir die FF-Setup.exe rüberzuziehen.
Habe H eben formatiert, aber diese Shortcut dateien werden neben dem ordner recycler immer wieder erstellt.
2. Noch immer muss ich ständig den Firefox neu installieren, weil er nicht funktioniert. Dürfe in Zusammenhang mit der entfernung der Viren mit AV liegen (?!).
3. Habe gestern nacht nochmal nen AV suchlauf komplett laufen lassen. Die Warnungen, die der AVGuard ausgibt wurde hier nicht gefunden.
Log im Anhang.


Ich verstehe glaube ich grade warum der suchlauf nicht mit dem guard übereinstimmt: weil der Suchlauf den USB Stick nicht erfasst...

Abschließend wollte ich aber nochmal erwähnen, dass der USB STick ziemlich sicher nicht die Quelle der Viren ist, er ist höchstens durch benutzung zum Wirt geworden.

Danke und Gruß Schleuder


Edit: Hab den Stick nochmal formatiert und dann abgezogen, seit dem ist der Guard interessanterweise Still...

Habe grade einen 4stunden Fullscan mit AV laufen lassen.
Dieser findet nichts mehr. Kommt der ganze ärger vom Stick?
Ich bin irgendwie skeptisch und glaub noch nicht daran, dass jetzt wieder alles in Ordnung ist.

Was ist mit Sachen wie onlinebanking, ebay, amazon usw muss ich da jetzt eigentlich meine accounts alle sperren? oder passwörter ändern?

still needing help :wtf:

Update:

AV Guard hat unter C:Programme/Mozilla Firefox/res/hiddenWindow.html

den scriptvirus HTML/Rce.Gen gefunden.

:killpc: der Spaß ist also noch nicht vorbei :stirn:

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

hxxp://www.virustotal.com/file-scan/report.html?id=4a4dc3478105df99c4254ba3f15f6bcf293210f7639da8ba25bb6a6dbc46649d-1289857919


und


hxxp://www.virustotal.com/file-scan/report.html?id=f2857d9ece6fecc0d189db6e3bd738ebd96f6549273f9086fb8fa4e6f2b72f5f-1261508158


ist das richtig?


EDIT: Der AVGuard findet immer weiter an verschiedenen Orten verschiedene Trojaner =(
und das system ist inzwischen äußerst langsam und der arbeitsspeicher scheint voll ausgelastet

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER läuft (seit 3stunden) - ich mach die Logfiles Fertig.

Ich würde die dann gerne nicht öffentlich posten also als Zip anhängen und dir PW per PN schicken.

Grund: Ich kenne schlichtweg den Inhalt dieser Logs nicht und will nicht mehr Informationen (öffentlich) preis geben, als umbedingt nötig

Ist ok so. Als zip posten und mir das Passwort per PN ist gängige Praxis :)

hier die logs sry für die verzögerung



pw kommt per PM, PN

:dankeschoen:

Die Logs sind alle unaufällig. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi!

Also Malwarebytes funktioniert seit dem update auf service pack 3 nichtmehr... auch nicht über reinstall.

Den anderen Scanner hab ich laufen lassen, der hat mir aber kein log gespeichert.
Hatte aber 3 Funde und diese entfernt.
Ein zweiter Scan brachte keine ergebnisse.
Später zeigte der AV Guard erneut 23Viren an.

Diese habe ich über den Guard gelöscht.

Was kann man jetzt noch probieren?

Fehlermeldung?

Und ich soll jetzt meine :glaskugel: rauskramen und oraklen was wo gefunden wurde? :wtf:

Das wär natürlich äußerst praktisch.

Nur zur Sicherheit hier das Logfile:

Ist ok, Securom ist ein Kopierschutz, den bestimmte Spiele installieren und benötigen.

Ähm ok :wtf:
Das AntiVir was bemängelt, was offensichtlich sein eigener Bestandteil ist find ich merkwürdig.

Sind nur Einträge im Browsercache, leer den mal mit CCleaner.

Kannst du ignorieren. Es ist zwar definitiv ein Schädling, der war aber aktiv, CF hat den unschädlich gemacht und in seinen Quarantäneordner geschoben (daher das C:\Qoobox)

Was ist nun mit Malwarebytes? Wie genau funktioniert das nicht mehr?

So da bin ich wieder.

1. Das beruhigt mich sehr was du schreibst.

2. CCleaner hab ich laufen lassen

3. Malwarebytes:

Fehlermeldung 1: MBAM_ERROR_EXPANDING_VARIABLES (0, 9)

Fehlermeldung 2: MBAM_ERROR_MISSING_FILE (3, 0, mbamswissarmy.sys)
Der Pfad konnte nicht gefunden werden

4. Ständig wiederkehrend:

C:\Programme\Mozilla Firefox\res\hiddenWindow.html

Scriptvirus: HTML/Rce.Gen

-> Ist dies der Grund, warum ich nach JEDEM Neustart Mozilla Firefox reinstallieren muss? Wenn Nein, weißt du vllt den Grund?

5. Wollte ich nochmal fragen ob du den Eindruck hast dass mein System sehr schwer befallen war und ob ich bestimmte Accounts sperren soll, wie ebay, amazon, online-banking usw. ?

6. Ich kann Dir garnicht genug danke für deine Zeit, Hilfe und Geduld und werde von meinen wenigen Kröten auch sicher was spenden!

:dankeschoen:


Edit: Soll ich nochmal Hijackthis log machen?

Da sollte die Datei eigentlich sein. Ist sie das nicht mehr? :wtf:

Die Datei ist an für sich beim Firefox legitim, d.h. aber nicht, dass sie manipuliert wurde. Fehlalarm nicht ausgeschlossen...

Doch die datei liegt an dem von dir genannten ort.


Wie kann ich verifizieren obs ein fehlalarm ist?


Kannst du die anderen Fragen oben im schnellverfahren beantworten? Das wäre toll

Die Fragen kann ich noch nicht alle beantworten, da ich noch nicht weiß, was die Ursache für den Fund im Firefox-Ordner ist und warum MBAM nicht starten will :crazy:

Erstell dir mal testweise ein neues Benutzerkonto mit Adminrechten über die Systemsteuerung. Log dich aus und mit dem neuen ein, probier da malwarebytes aus. Was passiert?

Deaktivier den Virenscanner. Öffne die Datei C:\Programme\Mozilla Firefox\res\hiddenWindow.html mit dem Editor (notepad.exe) und poste den Inhalt in Codetags oder zip die Datei in ein Archiv und häng sie hier deinem Beitrag an.

Bitteschön:

Konntest du denn im anderen Benutzerkonto Malwarebytes nun ausführen?

Die hiddenWindow.html wird bei dir auf jeden Fall manipuliert. Deinstallier Firefox mal bitte komplett, lösch das Installationsverzeichnis (c:\Programme\Mozilla Firefox) und installier den Firefox neu. Den aber nicht sofort starten, sondern über den Safe-Mode - beobachte ob die eine Datei immer noch manipuliert wird.

Hallo Cosinus!

Nachdem ich gestern nochmal einen AV komplett scann gemacht habe und anschließend (vermeintliche) Viren gelöscht habe kam der klassische Blaue Bildschirm mit unverständlichem text.

Seit dem fährt der Rechner nichtmehr hoch.
Wie kann ich das System und alle Programme neu aufsetzen meine Fotos, videos und vor allem Dokumente aber retten?

System kaputt :D

Daten sichern => Mach das über ne Live-CD wie Knoppix oder Parted Magic. Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte ne externe Platte sein.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)