Hi,

bein stinknormalen Browsen wurde der Bildschirm blockiert von vermutlich nem Trojaner mit dem Hinweis: Ihr Computer ist infiziert und bezahlen Sie hier oder so (ganz normal nervig).
Auch nach dem Neustart war der Hinweis da (übernormal nervig imo). Der abgesicherte Modus hat gefunzt, aber das Internet hat nicht geklappt. Also dachte ich dass ich irgendnen anderen abgesicherten Modus wohl auswählen muss.
Beim Neustart hab ich nicht rechtzeitig F8 gedrückt und musste den PC während dem Windowsbootvorgang ausschalten. Bei Nochmalanschalten hat er mich dann also gefragt ob ich Windows normal starten möchte oder ob ich den Starthelfer (empfohlen) (oder so) verwenden möchte. ICh dachte mit dem Starthelfer komm ich die normale Bootmodus auswahl (also abgesichert oder nicht etc.) aber es hat lang geladen und dann kam da was das hat so ausgesehen wie von der Windows CD (auf englisch). Ich wurde gefragt ob ich will dass der PC mittels Sicherungswiedherstellung repariert werden soll und ich dachte "He, das ist genau das, was ich will!". Anstatt mir mitzuteilen von wann die Sicherungswiederherstellung ist oder sonst irgendwas hat das Teil einfach losgelegt mit nem Ladebalken und "repariert". Den Reperaturvorgang konnte man nicht abbrechen. Aber nach der Reparatur wurde der Pc neu gestartet und siehe da, er funktioniert!
Misteriös irgendwie, da hat das komische Reperatur Tool das gemacht was es soll. Im Nachhinein frage ich mich: Das Teil war schon von Windows, oder? Wenn nicht hätte der Virus nen Heidenaufwand betrieben mich reinzulegen.
Als erstes wollte ich einen Hijachthis Check machen, aber Firefox crasht sofort beim starten! Wenn ich auf Neustart gehe, kommt wieder das Crashfenster. Und ich finde den abgesicherten Modus nicht... Im abgesicherten Windows hat FF funktioniert, aber das INternet nicht... Aber Internet Explorer funktioniert normal, es wollte mich nur am Anfang auf so eine Betrügerseite leiten die einem angeblich den Computer scannt und dann soll man irgendwas runterladen. Das habe ich natürlich sofort weggeklickt und nicht genauer untersucht. Und irgendein Facemods Plug-In ist installiert kein plan was das ist. Naja ich konnte HijackThis verwenden aber im Log steht nix interessantes drin. (außer das angeblich kein antivir und keine firewall aktiv ist, was sie aber laut windows sind)
Erst danach hab ich mir das Antivirenprogramm vorgenommen, ich musste ja davon ausgehen, dass es infiltriert ist. Wir benützen Microsoft Security Essentials (abk. SE ab sofort) weil es meines Wissens das einzige AV ist, dass auf nem Geschäftspc kostenlos ist (und weil ich dachte dass eh nix gemacht wird von dem ein virus draufkommt <- falsch gedacht >.<) (ich kenn mich mit SE übrigens überhaupt nicht aus). Ich hab SE als erstes geupdatet und dann nen Scan gestartet. Als ich in den Verlauf geschaut hab stand da:
Trojan:Win32/Ransom.EJ
Schwerwiegend(die höchte Stufe bei SE)
heute 18:48
Ausgeführte Aktion: Zulassen
(Ich kann scheinbar keine weiteren Informationen erfahren, d.h. vor allem den Dateipfad krieg ich nicht raus)
Ich kann nicht genau sagen, ob der Fund vor der Reparatur war oder danach, ich tendiere zu davor. Ich versteh auch nicht wieso SE den Trojaner nicht blockt.

Mein Fragen: Ist das irgendein besonderer Trojaner? Hab ich vllt mehrere Malware drauf (stichwort Rootkit)?
Geht grade irgendwas spezielles rum (weil bei einem Laptop im lokalen Netzwerk war von ein paar Tagen auch sowas, aber nicht so gemein und der Trojaner ist auch misteriöse Weise verschwunden (ohne irgendwas zu reparieren))?
Fehlen euch jetzt noch irgendwelche Informationen?

Was ich jetzt tun werde:
dds log nachreichen
Mozilla neuinstallieren
checken ob internet explorer infiziert ist
SE AVscan abwarten (bisher nix)

hier das dds log. gibt es da eigtl auch ne internetseite zum auswerten?

[edit] Mozilla hab ich neuinstalliert

[edit2] Inter Explorer ist jetzt normal drauf, vllt. lag das an einer Toolbar die irgendwie an war (vllt vom Virus installiert) aber sie hieß bing toolbar, also eigtl in ordnung. Bei dem erwähntem laptop wurde auch die standardsuche (von firefox) auf veoh anstatt google gemacht (veoh hat ne suchmaschine?) aber als der Trojaner dann ohne reperaturversuche verschwunden war, war auch die Suche zurückgeändert.

Mein eigener PC (auch im lokalen Netzwerk) sollte von den Tätigkeiten her eigtl am anfälligsten für Viren sein (hihi), bei dem ist aber schon ewig nix und das einzige, was war, war microsofts schuld (wenn euch meine bisherige erfahrung mit trojanern aus irgendeinem Grund interessiert müsstet ihr nur meine alten Beiträge hier lesen, hier komm ich nämlich schon seit Jahren her für Hilfe)

Und mir fällt grade noch ein dass dieser Blockierbildschirm, den es oft gibt, diesmal besonders dreist war. Er hat gleich in der ersten Zeile was gesagt wie: "Auf diesem Computer befinden sich infizierte und pornographische Dateien." Und auf dem Button auf den man klicken soll stand: "Bezahlen und herunterladen"
Keine Ahnung ob das weiterhilft.

Wenn ich nix höre, gehe ich davon aus, dass der PC mitlerweile repariert ist.

Ein Problem könnte noch sein, dass auf dem PC am Montag Onlinebanking betrieben werden wird und ich mir nicht sicher bin, ob das sicher ist (ich bin morgen übrigens on).

[edit3]

OK, ich hab exakt das gleiche Problem wie Elrond84 in diesem aktuellen thread hier:

http://www.trojaner-board.de/108907-...tswarnung.html

aber da ich schon rumgepfuscht habe weiß ich nicht ob ich die automatisch fixes von dort bei mir anwenden kann. Kann ich otl auch genauso im unabgesicherten Modus benutzen?

Kann mir jemand was über die Herkunft des Trojaners sagen, damit ich ein Wiedersehen vermeiden kann?

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Starte bitte DDS erneut und poste die dds.txt und attach.txt

Hi,

vielen Dank dass du dich persönlich drum kümmerst.
Gestern wurde an den Computer normal gearbeitet, da konnte ich ihn nicht reparieren. Er ist wohl einmal abgestürzt, aber nix besoneres scheinbar. Die Onlineüberweisungen verschieben wir mal aufs Erste...

Hier das gewünschte dds log und attach.txt, ich hab attach.txt erstmal nicht gepostet weil ja drinsteht man soll es nur auf ausdrückliche Anfrage posten.

Nochmal die Frage: Gibt es für das dds log auch einen praktischen Onlineauswerter wie bei HijackThis oder müsst ihr da selber durchackern?

[edit]
Nochmal zum Onlinebanking. Das machen wir nicht über den Browser sondern über das Programm SFirm32 von unserer Bank. Erstens ist das Programm kennwortgeschützt und zweitens braucht man für Überweisung sogar sowohl eine Keyfile vom USB-Stick und ein weiteres Kennwort.
Ich wollt mal vorsichtshalber fragen, weil ja die meiste Malware wenn überhaupt dann Onlinebanking im Browser abängt, ob es doch sicher ist den Kontostand einzusehen und Überweisungen zu tätigen?
Ich geh mal zu 99% von nem Nein aus.

Wir ackern jede Logfile selber durch.

Ich melde mich später nochmal. Muss jetzt in die Schule und sollte schon dort sein ( Nachtschicht -.- )

Danke dass du dich so engagierst! Lass dich bitte nicht von deiner Arbeit abhalten!

Also bei dieser Infektion würd ich mir nicht all zuuu große Sorgen machen. Ich bin generell kein Freund mehr vom Online Banking. Nachsehen ja, Überweisungen mache ich dann doch lieber persönlich.

Ich seh auch in der DDS Log jetzt nichts, was mich aufschreien lassen würde.
Da dies ein geschäftlicher PC ist muss ich auf folgendes verweisen.

http://www.trojaner-board.de/108423-...-anfragen.html


Habt ihr in der Firma einen IT Support ?

Hi,
danke für die Antwort, sorry für meine späte Antwort.

Ich bin jetzt schonmal sehr erleichtert.

Den Inhalt des Links von dir kannte ich schon, deswegen habe ich auch gleich am Anfang von Geschäft gesprochen.

Die Firma ist winzig, das ist sogar der einzige Computer und als Sohn des Inhabers bin ich der (unbezahlte) IT-Support. Meine Malware Kenntnisse sind dafür zu lächerlich, wirst du denken, aber das steht ja auch nicht auf der Tagesordnung für mich.
Bei größeren Problemen (das letzte war eine tote Festplatte) würden wir ganz normal einen Techniker holen, wir kennen sogar einen ganz tollen; aber das ist so ne Sache, einmal ist er manchmal im Ausland tätig und zweitens kostet das vor allem Geld (techniker preise ).
Die Entscheidung, keinen Techniker zu holen, scheint die Richtige gewesen zu sein und meine Kompetenz scheint ausreichend gewesen zu sein.

Ich bin mir nicht ganz sicher ob ich verstanden habe was du wolltest. Ist das alles, das was du wissen wolltest? In diesem Logfile sind ja keine sensiblen Informationen drin, oder?

Noch kleine Fragen meinerseits:
Soll ich nochmal mir dem Malwarebyte Anti-Malware Scanner drüber gehen oder so?
Kann ich ein Wiedersehen mit einem ähnlichen Trojaner irgendwie besonders vermeiden? (unsere stärkste vermutung ist das er über spam emails reingekommen ist)
Interessiert dich meine/unsere Einstellung zum Onlinebanking? Ich schätze die Hintergründe sind nicht so rübergekommen, aber die kann ich dir ganz einfach verständlich machen, wenn du wölltest (weiß ja nicht wie eingefahren du bist, zumindest wäre es ja was Neues die meinung eines anderen in einem Forum umzustimmen )
Ist meine Antiviren Vorgehensweise (die eher symptombekämpfung ist, wie ich zugeben muss) in Ordnung, oder sollte ich in Zukunft in jedem Fall sofort hier anklopfen?

Also vielen lieben Dank nochmal!
LG
Someonelse

Hy,

Zitat:

Meine Malware Kenntnisse sind dafür zu lächerlich, wirst du denken, aber das steht ja auch nicht auf der Tagesordnung für mich.

Keine Panik, da fragen schon gaaanz andere Gurus um Hilfe. Mein IT Prof hat von dem Thema auch keine Ahnung ( was ich sehr lustig finde )


Sehen wir uns das System mal ganz genau an.



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.




Bitte poste in deiner nächsten Antwort
TDSSKiller Logfile

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen