Popup- und Rechnerneustartprobleme nach EXP/Sinowal.I und Win32.Muollo - Fund
 

Guten Abend liebes Trojaner-Board,

ich/wir ("Family"-Pc) habe nun seit einigen Tagen mehrere Probleme, die sich wohl auf auf die obig genannten Funde zurückführen lassen. Was ich bisher beobachten konnte, sind:
• Beim Öffnen des Browsers (FF) öffnen sich gleichzeitig, jedoch nicht bei jedem Seitenaufruf, andere Seiten auf. Ich versuche diese dann schnellstmöglichst wegzuklicken, dort wird aber - unseriöserweise - meist auf irgendwelche "Free Scans" und was auch immer hingewiesen. Draufgeklickt habe ich natürlich nicht.
• Der Pc startet manchmal, jedoch nicht immer, "grundlos" neu. Ab und an war es im 1 1/2h - Takt, ich habe jedoch das Gefühl, dass wenn nicht im Internet gesurft wird, es dann besser ist bzw. nicht mehr vorkommt.
• Avira lässt sich nicht mehr updaten. Es ist mir heute aufgefallen, als ich diesen Beitrag "vorbereiten" wollte, da ich noch einen "Vollständigen-Scan-Log" hier reinstelle. Auch manuell lässt er sich nicht updaten. Es kommt dann immer Beim Downloaden der Dateien ist ein Fehler aufgetreten.
• eine "svchost.exe" verlangsamt deutlich die Performance des PCs. Keine Ahnung was das für ein Prozess sein soll, jedoch erzeugt er eine große CPU- und Speicherauslastung =(
€dit: • die "CLI.exe", der ja normalerweise das CatatlystControlCenter von ATI ist, ist bei mir 3x vorhanden. Ich denke nicht, dass dies "normal" ist :-/

Das sind wohl die offensichtlichsten Probleme.

Nun zu dem, was ich bisher schon gemacht habe bzw. bisher schon gefunden wurde:

• 16.05.: "Vollständiger" Avira-Scan - EXP/Sinowal.I - Fund, komischerweise wurde dieser wohl zweimal gefunden, beim ersten Mal wurde der Zugriff "verweigert", beim zweiten Mal (ausversehen?) "zugelassen"

Ich bin dann einige Ordner durchgegangen, habe ein paar Dateien mit Virustotal überprüft und dann nochmal mit Avira "vollständig" gescannt.
Anschließend wurde EXP/Sinowal in C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\7c701269-606b407d gelöscht.

• Zwischendrin durch Hijackthis noch eine "tuvod.exe" gegrillt. Diese war in einem Ordner bei C:\Dokumente und Einstellungen\xxx\Anwendungsdaten.

€dit: • Ich habe auch noch einen Bitdefender Online-Quick Scan gemacht, dieser hat jedoch nichts gefunden.

• Spybot Search and Destroy spuckte mir am gestrigen Abend leider noch die nächsten Hiobsbotschaften aus:
So wurde zum einen ein "Win32.Muollo" und "Microsoft.WindowsSecurityCenter.FirewallBypass" gefunden. Sieht für mich jetzt so aus, als hätte sich da auch was in die Registry gefressen?
Den Log (der irgendwie seeeehr groß ist) hänge ich auch mal an.

• Ich habe heute nochmal einen "vollständigen" Avira-Scan gemacht, bei dem mich vor allem die 5366 Hinweise fast erschlagen hätten. :wtf:
Leider wurde zudem noch ein "JAVA/MundGura.D" gefunden, jedoch gelöscht.


Oh man ... ich hoffe, dass es da noch was zu machen gibt. Online-Banking wird von diesem PC nicht betrieben.


P.S.: Da die Logs zu groß für den Anhang sind/waren, habe ich sie mal gezippt. Es handelt sich hierbei um den aktuellsten "vollständigen" Avira-Scan von heute Nachmittag und den Spybot-Scan von gestern Abend.


Ich bedanke mich schon einmal für die Hilfe und verbleibe mit freundlichen Grüßen

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Ich mach dir einen Vorschlag:
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.
Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

1.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Guten Morgen coverflow,

ich habe deinen Einführungstext gelesen und bin damit einverstanden :o)

1. OTL.txt

(OTL) Extras.txt

Hm klasse, ich kann grade irgendwie keinen größeren Post machen ...

der 2. Schritt sei - erledigt -.

Ich versuche einfach, dir die notwendigen Dateien über den Anhang (.zip) zukommen zu lassen. Ich hoffe, dass das auch ausreicht?! :heilig:

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

Gmer-Scan:

Malwarebytes-Scan:

€dit: die beiden c:\system volume information\-Funde @ mbam habe ich nicht ausgewählt ("Not selected for removal.") wie beschrieben.

Ansonsten ist mir noch aufgefallen bzw. ist anzumerken, dass der verlangte Neustart nach dem mbam-Scan nicht durchgeführt werden konnte, da sich der PC auch nach 10 bzw. 15 Minuten nach dem "Abmeldebildschirm" vom Desktop (jedoch noch nicht dieser Windows-Bildschirm) nicht ausgeschaltet hat (=> für den Neustart). Ich habe ihn also über den POWER-Knopf heruntergefahren und dann wieder hochfahren lassen, was aber 3-4 Anläufe gebraucht hat. Auch über den Screen "Im abgesicherten Modus" hochfahren, ließ er sich vorerst nicht hochfahren.
Erst nachdem ich die Auswahl "Zuletzt funktionierenden Modus wählen" ausgewählt habe, ist er hochgefahren.

habe richtig verstanden, das Du mit der "letzten als funktionierend bekannten Konfiguration" dein System zurückgesetzt?

1.
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

2.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Wie definierst Du "zurückgesetzt"?
Mein Desktop sieht unverändert aus ('unverändert' im Sinne von wie "kurz vor dem Neustart") und ich habe mal geguckt, ob die gefundenen Dateien von mbam auch gelöscht worden sind - sie sind gelöscht worden.

Habe ich mit der Auswahl (, was m.E.n. die einzige Möglichkeit war, den Pc überhaupt zu starten) einen Fehler begangen?

Dadurch, dass der TDSSKiller am Ende des Suchvorgangs einen Neustart verlangt: was wäre, wenn ich den PC wieder "nur" über die Option "letzten als funktionierend bekannten Konfiguration" starten kann?


Gruß

nein, habe nicht so gemeint, aber ich muss es wissen wegen die weitere Vorgehensweise

wie der Rechner reagiert, man kann leider vorher nie sagen...Abhängig ist es eignetlich nur davon, wie stark das System befallen ist, bzw wie der Rechner unter der Kontrolle des Angreifers stehen...

Hallo,
also der Rechner hatte beim "TDSSKiller-Neustart" keine Probleme.

TDSSKiller-Log:

OTL.txt - Log:

(OTL-) Extras.txt - Log:

1.
kannst deinstallieren, alte Version:
Wenn du an der letzten Version - HijackThis 2.0.4 interessiert bist, gibt es *hier*

2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

1. upgedatet und erledigt.

2. Es gibt sogar inzwischen Version 6.25 :-) -- ergo 'erledigt'

3. Ausgeführt.

4. Bericht von SUPERAntiSpyware FREE Edition:

5. Log vom ESET Online Scanner:


(6.): • Das Problem mit dem Rechnerneustart besteht m.E.n. nicht mehr. Ebenso lässt sich der Pc nun problemlos neustarten, falls dies gewünscht wird.
• es haben sich bis zum letzten Schritt m.E.n. noch Popups bzw. andere/neue Tabs geöffnet. Dies scheint jetzt ebenfalls beseitigt zu sein.
• die "große" svchost.exe ist verschwunden.
• es bestehen weiterhin die Probleme: 3x CLI.exe vorhanden, Avira lässt sich nicht updaten.

€dit: Wie dem ESET-Log zu entnehmen ist, hat er zwar noch 5 Sachen gefunden und "gecleaned", wird diese Reinigung jedoch erst nach einem Neustart aktiv? Falls ich nämlich den Pfad zu einem dieser infizierten Dateien folge (z.B. zu C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Adobe\plugs\mmc53474062.txt), dann ist die Datei auch weiterhin vorhanden!? Richtig so?

nimm "[ATICCC]" aus dem Autostart raus!
Start→ Alle Programme → Zubehör → Ausführen →"msconfig" (reinschreiben ohne "") → Ok

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!: muss auf dem Desktop installiert werden!
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!