Probleme nach BKA-Malware! vssadmin.exe
 

Hallo und schönen guten Abend :)

Vorweg: Ich entschuldige mich jetzt schonmal für sämtliche Fehler die ich mache oder noch machen werde:)
Bin nicht grad das, was man unter einem PC-Versteher/Kenner versteht! ;)

Folgendes Problem:

Nach dem Surfen im WWW habe/hatte ich die momentan stark kusierenden BKA-FAKE-MALWARE auf meinem Rechner.

Dank Systemzurücksetzung läuft soweit alles wieder und um auf Nr. Sicher zu gehen hab ich Maleware-Bytes Anti-Vir und Spybot nacheinander suchen lassen!

Mittlerweile findet nur noch Spybot etwas: Im Ordner C\Windows\System32\vssadmin.exe
Laut Spybot eine Malware.

MWB jedoch findet nichts mehr, allerdings macht mich stutzig das, wenn ich einen Rechtsklick auf die Datei vssadmin.exe mache sich der Explorer aufhängt, und auch allgemein hinkt mein Pc etwas.

Kann mir vlt jemand in meiner Unwissenheit weiter helfen?


Im Anhang sind die 3 letzten Berichte von MWB der letzte ist "clean".

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

2.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.
Anleitung:-> GMER - Rootkit Scanner

gruß
Coverflow

Hallo Coverflow,
danke schonmal für die fixe hilfe!

Da leider schon bei Schritt 2 ein fehler auftritt -.- muss ich mich schon direkt wieder an dich wenden!
Nach der Installation von HiJackThis und der ausführung kommt die im Anhang beigefügte (Fehler-)Meldung und die SaveLogs die das Programm erstellt sind nicht da bzw leer!
Was mich aber stutzig macht ist das ich das Progamm nicht " Als Administrator" starten kann, zumindestens steht es nicht in dem Auswahlmenü bei einem Rechtsklick.

Da du weiter oben geschrieben hast das ich die Punkte nacheinander ab arbeiten soll unterlasse ich jetzt die weiteren Schritte bis du mir da was genaures sagen kannst :)

Zu Punkt 4 -> Ist bereits Installiert
Zu Punkt 5 -> Das Programm hab ich geladen. Allerdings versteh ich nicht OB ich es jetzt nutzten soll ^^ -> Mein System Win7

Die Internet-Leitung kann ich leider nicht ganz ausmachen, da dies der EINZIGE Pc ist den ich habe :(
Allerdings sind Chat etc auf 0 reduziert.

MfG

Habe die hosts Datei ersetzt (d.h. die Ursprüngliche Umbenannt, da sie trotz löschen der HiJackThis verweise NICHT FUNKTIONIERT hat, worauf eine neue erstellt wurde) und danach lief alles einwandfrei.

Im Anhang nun die Logdatei:

HiJackthis Logfile:
--- --- ---


HiJackThisList


CCleaner Installierte Programme

für Punkt 5: habe leider Windows 7 Home Premium 64bit :(

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> `Do a system scan only`--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten) - fixe NUR Die von mir angegebenen Einträge!:
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

4.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

6.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

Hey :)

Also Punkt 1 - Erledigt!

Hier die neue Log-Datei:
(Das Problem hab ich nun so gelöst das ich die Datei jeweils umbenne, da Spybot den HiJackThis Eintrag automatisch dort reinschreibt!)


HiJackthis Logfile:
--- --- ---


Punkt 2 - Erledigt

Allerdings hat Avira gestern noch 3 Java Trojaner gefunden,
gelöscht und in Quarantäne verschoben:
Bericht

Punkt 3 - Erledigt

Punkt 4 - Erledigt

Punkt 5 - Erledigt

Hier die Log-Datei:


Naja Häufigkeit und Art des Problems ist eigentlich das mein PC an sich langsamer läuft und auch bei bestimmten Spielen mittendrin Hänger kommen bei dem beim PC nichts mehr geht und ich auf die Reaktion erstmal warten muss.

Im Anhang hab ich noch den Screen von dem Fund von Spybot hochgeladen, den komischerweise sonst KEIN PROGRAMM findet?!

So Danke schonmal :) und wie soll ich jetzt weiter verfahren?
grüße ViedelNNN

Kann ein Fehlalarm sein, aber trotz allem sollte man nicht gleich direkt auf löschen gehen, sondern alle Meldungen ernst nehmen und nachgehen
das machen wir jetzt:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - nklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren::
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Also ich lass die eine Datei jetzt schon bestimmt 15 minuten lang da "hochladen" ...

es tut sich nichts.


Hängt das evtl auch damit zusammen das, wie ich weiter oben beschrieben habe, sich auch mein Explorer aufhängt wenn ich einen Rechtsklick auf die Datei mache?
Zudem langsamen PC sind nun auch "hänger" sowohl beim Laden Datein und Ordner als auch im FireFox aufgetretten, d.h. die Meldung "Keine Rückmeldung" erscheint bis er sich dann wieder beruhigt! ...

Hilfe? ^^

Ich korregiere

es sind gut und gerne über 2 Stunden die er versucht hat es hochzuladen


ich hab zudem noch versucht die Datei zu ersetzen ... geht nicht
löschen ebensowenig, auch nicht im Abgesicherten Modus.

Was jetzt?

HILFE :(

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :filefind
vssadmin.exe

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Gut hab ich gemacht.
Wusste nicht genau ob es schon direkt als "Admin starten" gild wenn das Windows-Wappen auf dem Icon ist, daher hab ich 2 durlcuahfen lassen.
Den ersten einfach mit Doppelklick, den zweiten mit "Als Administrator starten".

1.
2.
Was mir auch noch Aufgefallen ist, ist das das Windows-Wartungcenter immer wieder Nachrichten anzeigt, nach dennen zu Folge Avira Inaktiv und wieder Aktiv geschaltet wird! Auch kam die Nachricht das bei Avira "erfolgreich die neuen Einstellungen festgelegt wurden" und dann wird zum PC Neustart aufgefordert(also via Ja Nein Button)

MfG

Keine unüberlegten Aktionen zu starten! Beachte bitte folgendes!:
► Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht,dass sie so harmlos sind, wie (oft) dargestellt wird ;)
Daher kämen auch Fehlalarme immer wieder vor;)

- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!:[/u] muss auf dem Desktop installiert werden!
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

So habe alles so gemacht wie du gesagt hast und ich glaube diese Stelle in dem Bericht ist das wodrauf ich die ganze Zeit gewartet habe :)

Hier dier ganze Bericht :)

[code]
Combofix Logfile:
--- --- ---



Ich Danke dir nochmal recht Herzlich für deine Hilfe!
Hoffe das jetzt alles wieder funktioniert ;)
Bzw. gilt es noch etwas wichtiges zu beachten?

MfG
ViedelNNN

na fein, schön es geklappt hat:)

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Zum Schluss, Systemreinigung mit SAS:
4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

So hab die Liste jetzt bis auf punkt 2 abgearbeitet, da ich noch den "reibungslosen Ablauf" prüfen will ^^

Hier der Bericht:

Achja und das hier hab ich auf meinem Desktop gefunden unter dem Namen "catchme":
hat das irgendeine Bedeutung?