Hallo zusammen,

seit 2 Tagen ist mein Rechner mit Trojanern und einem Wurm infiziert.
Ich muss sagen, dass ich keinerlei Erfahrungen im Umgang mit Viren, Trojanern etc. habe und keine Ahnung habe, wie ich vorgehen soll.
Im Anhang findet Ihr eine Liste mit meinen Problemen.
Ich freue mich über jede Form von Hilfe und sage noch einmal Hallo an alle (ist ja schließlich mein erster Post) und natürlich Frohe Ostern.

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

So, beides erledigt.
Ich habe die Log-Datei erstellt, bevor ich die infizierten Objekte gelöscht habe, sind also entfernt.

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.09.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: DELL-EB50AD44D3 [Administrator]

09.04.2012 14:53:50
mbam-log-2012-04-09 (16-01-46).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 261742
Laufzeit: 56 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 16
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\System\CurrentControlSet\Services\svchost (Backdoor.Bot) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: ;áÃzÊ;XA³0öm»Áµ -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten:  -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (hxxp://startsear.ch/?aff=1) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Programme\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9686A055-A487-4240-8ECD-92DF1A0DF4B6}\RP111\A0028896.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9686A055-A487-4240-8ECD-92DF1A0DF4B6}\RP121\A0032028.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9686A055-A487-4240-8ECD-92DF1A0DF4B6}\RP89\A0024673.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9686A055-A487-4240-8ECD-92DF1A0DF4B6}\RP89\A0024680.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9686A055-A487-4240-8ECD-92DF1A0DF4B6}\RP89\A0024675.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.

(Ende)
         

ESET Online Scanner:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4d92788d99e6d946a546eac5a6e7fe7a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-09 03:14:24
# local_time=2012-04-09 05:14:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1024 16777175 100 0 15364394 15364394 0 0
# compatibility_mode=8192 67108863 100 0 163 163 0 0
# scanned=82554
# found=9
# cleaned=0
# scan_time=3111
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\538383db-7aea9fe6	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\5596f79e-67a541b9	Java/TrojanDownloader.Agent.AD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\jar_cache2387193549749313007.tmp	Java/Agent.DZ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\jar_cache391767413906145350.tmp	a variant of Java/TrojanDownloader.Agent.NDJ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\jar_cache8284781760319203114.tmp	a variant of Java/TrojanDownloader.Agent.NDJ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\jar_cache8395803325842596712.tmp	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\system32\MXOFX.dll	probably a variant of Win32/Sirefef.ER trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\system32\drivers\netbt.sys	Win32/Sirefef.DA trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	multiple threats	00000000000000000000000000000000	I
         

AVG zeigt mir mittlerweile fast im Minutentakt neue Trojaner an, was wohl an dem/den Trojaner-Agenten liegt (wenn ich das richtig deute, lädt dieser ja ständig neue Trojaner auf den Rechner). Ich verschiebe diese dann bei AVG in die Quarantäne und entferne sie anschließend.

Wie gehe ich jetzt deiner Meinung nach am besten vor?
Danke schon einmal für die bisherige und weitere Hilfe.

Zitat:

C:\WINDOWS\system32\drivers\netbt.sys Win32/Sirefef.DA trojan

Du hast offensichtlich einen ZeroAccess drauf, der ist immer ungemütlich.
Ich würde dir erstmal für den Fall der Fälle eine Datensicherung empfehlen und dich darauf vorzubereiten, eine komplette Neuinstallation von Windows durchzuführen, den ZA kann man nämlich nicht immer per Bereinigung entfernen!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote wieder Windows


Wenn du dir sicher bist, dass du auch Daten unter Linux gesichert hast, führst du mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Oje, bin fast davon ausgegangen, dass ich eine Neuinstallation vornehmen muss.

"Für den Fall der Fälle" meinst du, also könnte ich noch etwas probieren bevor ich neu aufsetze?
Auch wenn es natürlich lästig ist, hätte ich kein Problem mit der Neuinstallation. Wenn ich allerdings noch etwas tun kann, würde ich das natürlich trotzdem vorziehen.

Noch eine Frage zu PartedMagic:

Sollte ich mir das unbedingt holen oder reicht es auch aus, wenn ich meine Dateien auf einer externen Platte speichere?
Es sind nämlich nicht besonders viele Dateien, die ich behalten möchte und diese würden alle auf die Externe passen.
Programme nutze ich auf diesem Rechner auch nur maximal 10 regelmäßig, diese würde ich mir dann einfach wieder runterladen sobald ich XP wieder installiert habe.

MfG

EDIT:

Hehe, das hab ich wohl ein wenig falsch verstanden mit PartedMagic.
Ich kann mir das also holen, bevor ich überhaupt neuinstallieren muss?
Es ist also dafür gut, dass die Dateien, die ich von der Festplatte auf die Externe kopiere nicht noch die Externe infizieren (falls diese betroffene Dateien eventuell auch etwas abbekommen haben)?

Na,der 0Access ist nicht imme gut zu entfernen, eigentlich wird bei dieser Infektion auch eine Neuinstallation empfohlen. Nur wenn du willst können wir eine Bereinigung probieren, Erfolgschancen sind aber ziemlich ungewiss

Zitat:

Hehe, das hab ich wohl ein wenig falsch verstanden mit PartedMagic.
Ich kann mir das also holen, bevor ich überhaupt neuinstallieren muss?

Ja.
Es ist eine Live-Distribution, d.h. das Betriebssystem PartedMagic (mit einem Linuxkernel) läuft von CD und muss nicht auf die Festplatte installiert werden. Es ist jetzt für dich gedacht, damit du Daten sichern kannst, denn wenn PartedMagic gebootet ist sind garantiert keine Schädlinge aktiv. Somit kann auch kein Schädling irgendwas während der Datensicherung negativ beeinflussen

Und sichere wirklich nur reine Datendateien, keine Programme, Spiele und Setups!

Ich habe PartedMagic und ImgBurn runtergeladen.
PartedMagic ist eine RAR-Datei, heißt aber "pmagic_2012_3_24.iso".
Ich habe dann bei ImgBurn "Write image file to disc" ausgewählt und dann einfach diese Datei ausgewählt und gebrannt.
Allerdings kann ich von der CD nicht booten, hier wird mir die Datei exakt so angezeigt, wie ich sie auf dem Rechner habe.
Was kann ich falsch gemacht haben?

Zitat:

PartedMagic ist eine RAR-Datei, heißt aber "pmagic_2012_3_24.iso".

EIne ISO ist keine RAR-Datei!
Nur weil ISO-Dateien bei dir mit WinRAR verknüpft werden, macht das solche Dateien nicht zu RAR-Archiven!

Du hast die Datei falsch gebrannt. DIe ISO muss per Imagebrennfunktion gebrannt werden

Ja, das weiß ich.

Aber welche Datei soll ich denn jetzt genau brennen?
Ich habe wie gesagt diese RAR-Datei (die aber .iso heißt) und in dieser Datei befinden sich die 2 Ordner "boot" und "pmagic", sowie die Datei "mkgriso" (ist es die vielleicht?).

Sorry, aber ich stehe total aufem Schlauch gerade

Zitat:

Ja, das weiß ich.

Klar, und wieso nennst du die ISO schon wieder RAR-Datei? => "Ich habe wie gesagt diese RAR-Datei (die aber .iso heißt)"

Zitat:

Sorry, aber ich stehe total aufem Schlauch gerade

Ist das denn so schwierig beim Image brennen die ISO als Abbilddatei auszuwählen?

Zitat:

Zitat von cosinus

Ist das denn so schwierig beim Image brennen die ISO als Abbilddatei auszuwählen?

Ich gehe mal davon aus, dass ich das getan habe.
Ich schreibe es mal schrittweise, eventuell findest Du ja dann den Fehler.

1. ImgBurn gestartet
2. "Write image file to disc" ausgewählt
3. Die Datei "pmagic_2012_3_24.iso" als Source ausgewählt
4. Speed "AWS" ausgewählt
5. CD eingelegt, Brennen gestartet

Am Ende finde ich die Datei dann im Ursprung auf der Disc wieder, eben als diese Datei mit den Ordnern "boot" und "pmagic", sowie der Datei "mkgriso".

Zitat:

Am Ende finde ich die Datei dann im Ursprung auf der Disc wieder, eben als diese Datei mit den Ordnern "boot" und "pmagic", sowie der Datei "mkgriso".

Das ist ein Hinweis, das eben NICHT per Imagebrennfunktion gebrannt wurde! DIeses Resultat hat man man wenn man einfach per Datenbrennfunktion eune Datei bzw. Dateien und/oder Ordner auf eine CD brennt

Nach der Imagebrennfunktion hättest du die Ordner boot, magic etc. direkt so auf der CD. Eben dass Dateisystem der PartedMagic-CD, dieses Dateisystem wird in der ISO komplett abgebildet (inkl. Bootinformationen, wenn die CD nicht bootfähig wäre würde sie einem wenig bis garnichts nützen)


Hier ist noch ne Anleitung am Beispiel einer Ubuntu-CD, aber das Prinzip bleibt das gleiche! => Ubuntu-CD

Ich bin mir sicher, dass du irgendwas falsch bedient hast sonst hättest du nicht direkt eine ISO-Datei auf der CD sondern das darin enthaltene Dateisystem