Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems

Lydia33

Hallo,

ich brauche dringend Hilfe, wofür ich mich schon im Voraus herzlich bedanke.
Ich werde versuchen, den chronologischen Ablauf des Sachverhaltes zu schildern, das wird leider etwas länger dauern, aber ich denke, diese Ausführlichkeit wird für die Hilfe notwendig sein.

Seit Ende August 2012 weiß ich, dass ich von jemandem, mit dem ich online Kontakt hatte offensichtlich die ganze Zeit (über ein Jahr) total ausspioniert bzw. beobachtet wurde. Ich hatte natürlich im Entferntesten keine Ahnung davon, dass er solche Dinge tut oder auf solchen Ebenen agiert. Er hat die ganze Zeit über sämtliche Accounts und jegliche Aktivität auf meinem Computer im Blick bzw. zudem Zugriff auf all meinen privaten Dokumente und Fotos gehabt. Ich fühlte mich während der ganzen Zeit über vollkommen sicher und “horchte” erst auf, als er auf Amazon.de, auf meinem Privatkonto, Spuren hinterlassen hatte, um mir zu zeigen, dass er Zugriff auf meinen Account hat. Dies war der Anlass für mich, mein System zu prüfen. Ich hatte davor zwar eine Virensoftware auf meinem Computer, jedoch nur Freeware und hatte diese zudem nicht wirklich mehr aktualisiert oder regelmäßige Systemscans gemacht. Den Computer hatte ich ein Jahr zuvor das letzte Mal neu aufgesetzt, als plötzlich komische Prozesse abzulaufen schienen - das war zu einer Zeit, als er höchstwahrscheinlich auch schon Zugriff auf meinen Computer hatte. Die ganze Zeit über hatte ich DSL, der Computer war oft länger online, so dass der “Datenaustausch” mühelos möglich war und ich bezüglich geringerer Internetgeschwindigkeit nie etwas bemerkt hatte. Nach der “Entdeckung” hatte er nun danach auch noch einmal auf meinem Amazon-Account eingegriffen, aktivierte privat angebotene Bücher, welche ich, da ich verreist war, deaktiviert hatte, wodurch ich dann auch den Schaden hatte und Bestellungen nicht bedienen konnte, bzw. diese stornieren musste. Das ganze geschah etwas später, als ich dachte, mit meinem nun neu angeschafften Computer und den Sicherheitsvorkehrungen sauber zu sein. Wobei es möglich sein kann, dass er unabhängig von meinem Computer den Amazon-Account “gehackt hat” (das Passwort hatte ich jedoch schon geändert und es war sehr lang und sicher), wobei mein Computer so muss ich jetzt annehmen zu diesem Zeitpunkt auch schon wieder kontaminiert war.. Jedenfalls hatte sich unabhängig von meinem Computer auch zusätzlich in die FB Seiten von Freunden “gehackt”, diese natürlich auch im Blick gehabt, zumindest mit „Fake“- Accounts geaddet und auch zum Teil gehackt und zudem auch einige Male im Namen einer Freundin gepostet, was noch nicht so lange her ist. Da für mich logischer Weise dieses Sicherheitsproblem meinen Freunden gegenüber nicht zu verantworten ist, habe mich erst einmal aus FB zurückgezogen. (Ich hatte sogar versucht, anonyme Accounts anzulegen, wo er mich immer wieder gefunden hat, da ich nun weiß, dass er jegliche Internetaktivitäten meinerseits im Blick hatte, verwundert mich das jetzt nicht mehr. Hauptsächlich ging es “der Person” grundlegend jedoch darum, mich auszuspionieren (und zugleich damit auch Macht zu demonstrieren), was für ihn wahrscheinlich generell normal und schon lange eine Freizeitbeschäftigung darstellt. Auf jeden Fall war ich sehr enttäuscht und fühlte mich hintergangen, da ich für lange Zeit großes Vertrauen in ihn hatte. Die Geschichte ist lang, aber tut hier nichts zur Sache. Heftig fand ich jedenfalls ebenfalls, zu sehen, dass er nicht aufhörte und wie ich annehmen muss, auch nicht unbedingt aufhören kann, sofern ihm eine Möglichkeit geboten wird. Ich hoffe nun, dass ich mit eurer Hilfe meinen Computer Stück für Stück säubern kann, um “meine Ruhe” haben. Zudem werde in Zukunft online nur noch ausgesprochen vorsichtig überhaupt aktiv sein. Als ich damals den Eintrag in Amazon sah, war ich überrascht. Als ich dann kurz danach (nach einer Neuinstallation von Windows, zum Test mein Hintergrundbild änderte, reagierte er sofort darauf, es war dadurch eindeutig bewiesen, dass er auf meinen Computer Zugriff hat. Das war ein komisches Gefühl. Als ich das nächste Mal online war, löschte er als Demonstration seiner Möglichkeiten einen Treiber auf meinem Computer. Zuvor und auch später noch einmal wurden zudem Daten von meiner externen Festplatte gelöscht bzw. (ausführbare) Dateien hinzugefügt. Nach dem Löschen der Treiber wollte meinen alten Computer neu aufsetzen, was dann aber nicht mehr möglich war, zudem streikte das DVD-Laufwerk ebenfalls (5 Jahre alter Laptop) Ich musste mir deshalb nun einen neuen Rechner zulegen. Eine Woche später habe ich den alten Computer dann auch wieder hinbekommen und konnte Windows neu installieren. Ich ging dort online - dann passierte das (eben erwähnte) mit dem Hintergrundbild, der Computer war also auch immer noch infiziert. Im Internetcafé, welches zur Zeit und schon damals, aufgrund eines Umzuges, weit entfernt war, habe ich natürlich alle meine Passwörter geändert usw, zudem Software die ich benötigte runtergeladen und nach Informationen im Netz gesucht. Ich hatte zu der Zeit im August, September - und dies ist immer noch der Fall, aufgrund eines Wohnortwechsels nur sehr begrenztes Internet - es gibt hier in der Gegend noch kein DSL. Ich nutze einen Internet Stick (z. Zt. 6-9 kb/s Downloadrate), demzufolge war die Verbindung auch viel langsamer. Aktuell ist die Verbindung nun völlig blockiert, durch Upload- und Downloadaktivitäten initiiert durch die Maleware.
Ich muss sagen, ich war zuvor völliger Laie was den Computer betrifft und wie jeder 'durchschnittliche Computer- und Internet-Nutzer' auch relativ uninformiert, was das Thema Maleware und Internetsicherheit betrifft. Natürlich habe ich mich belesen und versuchte seit dem, mich von meinem „Stalker“ zu 'befreien”:

Ich stellte damals fest, dass sich die Maleware sich über USB-Sticks und externe Festplatten usw. überträgt (der Virus, welchen ich damals auf meiner Externen Festplatte hatte s.u.). Auf die Weise hatte ich, wie ich danach sehen musste, auch gleich mal 2 Computer der Familie infiziert (einer dieser Computer befindet sich noch im „Originalzustand“, mit diesem war ich damals nur einmal ca. 2 h online und es wurde dabei „live“ von “ihm” eine sehr wichtige Datei gelöscht, was meinem Vater (sein Computer) 2 Tage Arbeit einbrachte. Ich habe auf diesem Computer, der seit dem auch nicht wieder mit dem Internet verbunden war, mit Avira Free Antivirus die Maleware WORM/Kido.IX und APPL/NstallIQ.Gen5 (Nb.: betrifft nicht den aktuell betrachteten Computer) gefunden. Auf meiner damals die Maleware übertragenden externen Festplatte wurde der hartnäckige Trojaner Downloader.Generic10.AGXJ (betroffen war die System Volume Information) gefunden.
Mein „ aktueller“, neuer Computer ist höchstwahrscheinlich nicht von dieser Maleware angesteckt worden, falls er nicht doch von dem Internetdatenstick übertragen wurde (von dem ich annahm , er könne nicht manipuliert werden (da ich selbst keinen Zugriff hatte), den ich soweit ich mich entsinnen kann, damals nämlich nicht ausgetauscht hatte. Ich hatte ansonsten keine der alten USB-Sticks, bzw. die alte externe Festplatte oder vorher genutzte SD Speicherchips angeschlossen. Der zweite „angesteckte“ Computer (meine Eltern) weist ein ähnliches Problem auf, wie ich es auf meinem jetzigen, neuen Computer (um den es in diesem Post geht) ebenfalls habe. Auch dort habe ich es ebenfalls schon oft mit einer Neuinstallation von Windows probiert, ebenfalls noch extra formatiert, auch ohne Erfolg. Mit dem Computer war ich das Jahr zuvor auch ab und zu online und habe wahrscheinlich damals auch schon diese Maleware übertragen, welche dann, was anzunehmen ist, beim Onlinegehen erweitert wurde.

Mein Ziel ist es jetzt nun zuerst einmal, meinen eigenen Computer vollständig zu bereinigen – ich hoffe, dass dies möglich ist (welchen ich ja auch dringend benötige) - um dann irgendwann die anderen Computer ebenfalls in Angriff zu nehmen.

Beim neuen Computer (gekauft Ende August '12) verhielt sich anfangs so, dass ich annahm, das System sei seit dem Neukauf sauber und neutral. Ich nutzte in der Zeit nur die vorinstallierte Security-Software von McAfee an der ich weder etwas speziell konfiguriert oder irgendwelche Standardsicherheitseinstellungen zu mehr Sicherheit hin verändert, noch mir die Protokolle über Internetaktivitäten und Eindringversuche angeschaut hatte. Da die Software in Einschätzungen im Internet nicht so gut abschnitt und ich aufgrund von Äußerungen „desjenigen Stalkers“ immer noch annehmen musste, dass ich offensichtlich immer noch bedroht bzw. zumindest Angriffsversuchen ausgesetzt war, schaffte mir am 14.10.12 die Zone Alarm Extreme Security 2012 (ZA) (für 3 Computer) an. Dort musste ich dann sehen, dass ich bei jedem Onlinegehen Portscans bzw. auch Zugriffversuche zu verzeichnen hatte (das gleiche fand auf dem alten Laptop statt, wo ich auch online ging). Ich musste wegen meiner langsamen Verbindung und schlechten Netzes recht oft eine neue Verbindung aufbauen und jedes Mal hatte ich Portscans zu verzeichnen. Anfangs dachte ich, derjenige wüsste meine IP Adresse, bzw. dass diese sich nicht ändern würde, später sah ich, die Zugriffversuche oder Portscans waren unabhängig von einer Änderung der IP Adresse und erschienen wirklich im Augenblick der Herstellung einer Internetverbindung. Das gleiche geschah auf dem Computer meiner Eltern, wo ich ebenfalls die ZA-Software installiert hatte. Da ich die Datenchipkarte zum Onlinegehen, wie oben erwähnt, ausgetauscht hatte zudem auch den Internetdatenstick, nahm ich an - nun alles andere ausgeschlossen habend (ich ging davon aus, Maleware kann eine Neuinstallation nicht überleben) - dass schon die downgeloadete Datei von ZA kontaminiert sein musste. Der Downloadlink von ZA in meinem Amazon-Account, wo ich die Software gekauft hatte, war auch gelöscht worden, so konnte ich diese nicht erneut downloaden (wobei die Software nach meinen jetzigen Erkenntnissen, wahrscheinlich sogar sauber war).
Da ich mich wie schon erwähnt mit diesen Portscans bombardiert sah, obwohl ich die höchsten und anonymen Sicherheitseinstellungen in der Firewall eingestellt hatte (und wie ich jetzt stark annehme, meine Verbindung wahrscheinlich schon wieder auch zum Installieren neuer Maleware „genutzt“ wurde - ich konnte damals die Uploads und Downloads damals noch nicht optisch nachvollziehen, aber die Verbindung war zumindest recht schlecht), legte ich mir dann Ende Oktober sogar noch die Bitdefender Total Security 2013 (für 80 Euro ) zu und zeitgleich dann eine neuen Internetstick um eine Infektion völlig auszuschließen. Nach Recherche im Internet war ich davon überzeugt, dass diese Software eine der am besten schützenden Firewalls sei und hoffte, sie würde ihren Dienst tun. Leider war mir damals nicht klar, dass es Maleware gibt, die eine Firewall einfach hintergehen kann bzw., dass ich solche Maleware trotz Neuformatieren (Nullen mit Darik's Boot & Nuke) auf dem Computer haben könnte. Über diese Möglichkeit hatte ich bis dato nirgends aussagekräftiges gelesen.

Die ganze Zeit über hatte ich beim Scannen mit den Komplettschutz-Securities (Zone Alarm Extreme Security 2012, Bitdefender Total Security 2013 und McAfee), deren Virenschutz täglich aktualisiert wurde, niemals einen Funde aufzuweisen. Beim Scannen mit dem online aktualisierten Malewarebytes ergaben sich ebenso niemals Funde.

Nach einem Monat der Nutzung von Bitdefender (1.11.-1.12.12) (siehe Anhang), ich hatte mich während dieser Zeit ziemlich sicher gefühlt, aber auch nur, weil Bitdefender alles selbst regelte und ich mir die Log-Datei während der Zeit nicht angeschaut hatte (da diese nicht so schnell zu finden war), traten dann plötzlich eines Abends, am 30.11.12 im Task- Manager bei vielen Prozessen der Zusatz "*32" auf, was sehr komisch aussah. Innerhalb von Minuten wurden immer mehr ".exe- Dateien" von diesem Zusatz “infiziert” . Mein System wurde langsam und viele Prozesse liefen im Hintergrund ab, was sich nach einem Neustart noch verstärkte. Ich habe dann nach der Log-Datei von Bitdefender gesucht und diese auf CD gebrannt um dann das System neu zu formatieren und aufzusetzen.

Da ich wegen schlechten Netzempfanges nur eine sehr langsame Internetverbindung hatte und für z.B. 250 MB viele Stunden Downloadzeit benötigen würde konnte ich Bitdefender nicht noch einmal installieren (vor allem, da es die Deinstallation der alten Firewall am Anfang des Downloads stattfindet, ich sah mich während der langen Downloadzeit nicht unbedingt gut geschützt).
Dem alten Zone Alarm Extreme Security (ZA), sofort nach Installation ohne Online-Installation einsatzbereit, traute ich ja nicht mehr. Da der Original- Download-Link des Kaufes der Software (auch bei Amazon) von meinem sogenannten Freund gelöscht worden war, und nirgends zu bekommen war, habe ich am 01.12.12 über den (amerikanischen) Kundenservice von ZA via Chat netterweise noch einmal den „Komplettdownload-Link“ bekommen und konnte so die Software noch einmal vollständig und neu runterladen.

In diesem Moment bin ich über Knoppix online. Dies ist zur Zeit für mich auch die einzige Möglichkeit, online zu gehen, bis diese bösartige Maleware entfernt habe. Denn es verhielt sich nun so dass, wenn ich nach einer Neuinstallation von Windows online gegangen bin, ich im Prinzip keinen Zugriff mehr auf das Internet hatte. Das Laden einer Internetseite ist nicht mehr möglich ist, während ich zugleich viele Up- und Downloadaktivitäten auf der Grafik der Internetsticks-Software sehen kann (begünstigt auch durch die sowieso langsame Internetverbindung).
Anmerkung: Ich wusste bis vor zwei Wochen nicht, dass ich mit der Knoppix-CD, welche ich mir schon gleich am Anfang gebrannt hatte, auch per Internetstick online gehen kann. Das Wissen über diese Möglichkeit hätte mir natürlich viel Zeit und Mühe gespart. Ich hätte mich auch schon eher Hilfe suchend an das Forum wenden können.(Ich hatte damals nur versucht, Linux zu installieren und gesehen, dass man dort mit einem Internetstick nicht online gehen kann, jetzt weiß ich jedoch, dass dies auch dort möglich ist, jedoch die Einrichtung wie es aussieht recht kompliziert ist.)

Noch einmal zurück zum weiteren zeitlichen Geschehen. Ich hatte nun eine als sauber anzunehmende ZA-Software und trotzdem traten nach jedem Neuinstallieren bzw. Formatieren wieder diese Port-Scans bzw. diese Eindringversuche auf, auch trotz erneutem Auswechseln des Internet- Daten-Sticks und der Chipkarte (was alles ins Geld ging).
Nach dem Ausschluss aller anderen Möglichkeiten vermutete ich nun, die Ursache muss in meinem System selbst liegen. Das System musste infiziert sein bzw. gleich beim Neuinstallieren infiziert werden, denn trotz Formatieren (selbst mit Boot & Nuke, sogar trotz DoD Methode- 3-faches Überschreiben, was 24 h dauerte und was ich auch einmal ausprobiert hatte) und Neuaufsetzen (was ich nun auch bestimmt 30 mal gemacht habe).
Ich habe auf meinem neuen aktuellen Rechner das vorinstalliertes Betriebssystem Windows 7, 64 bit. Da ich damals leider erst ca. 2 Wochen nach dem Kauf die Recovery- DVD's für den Computer erstellt hatte, nahm ich nun berechtigter Weise an, dass ich diesen DVD's höchstwahrscheinlich nicht trauen kann. Denn ich rechnete erst einmal immer noch damit, dass ein Formatieren alle Viren komplett beseitigen würde. Also blieb mir nur eine einzige Möglichkeit, nämlich die Original Recovery-DVD's noch einmal neu (für 50 Euro) von Acer zu bestellen (ich hatte vorher mit dem Kundenservice telefoniert ect. Und es war mir auch nicht möglich gewesen statt dessen einfach Windows XP auf den neuen Laptop zu installieren, die Treiber dafür fehlten und wurden auch nicht angeboten). Ich nutze demnach nun seit dem 28.12.12 bei Neuinstallationen des Systems diese sauberen Original-Recovery-DVD's. Das was schon einmal ein Anfang.
Nach einem entsprechenden Formatieren und Neuaufsetzen des Systems sah ich mich nun trotzdem, enttäuschender weise, immer noch mit dem gleichen Problem konfrontiert, wie zuvor: Nach dem ersten Start und dann vor allem nach einem zweiten Neustart kamen viele Prozesse in Gang, bei einigen Prozessen wurde „*32 „ angezeigt (nicht mehr so viele wie bei der ersten Infektion, von Bitdefender dokumentiert), wobei die Aktivitäten von Prozessen im Hintergrund nach einem Neustart immer enorm zunahmen bzw. auch dieser Anhang *32 bei jeder von mir neu installierten bzw. aktivierten oder auch vom System aktivierten Software auftrat. Beim Online gehen sah ich wie schon gesagt, Uploads, das Laden der Seiten war blockiert, wobei auch „downgeloadet“ wurde. Ich bin deshalb nie lange online geblieben, bzw. konnte fast gar nicht mehr online gehen. Ich habe jedenfalls bemerkt, dass jegliche „Veränderung“ im System meinerseits, später sofort als Information gesendet wurde (sichtbar an einer augenblicklichen Erhöhung der Upload-Rate). Ich hatte dann während der Zeit auch probiert, einige dubiose Programme zu löschen ect..

Auch versuchte ich dann, für die meisten (also die von mir nicht installierten bzw. auch nicht benötigten) Prozesse mit Zone Alarm einzeln die Internetaktivität zu verbieten, was dann Resultat dazu führte, dass diese dubiosen, alles andere blockierenden, Up-und Downloadprozesse erfolgreich (aber etwas zufällig) in ihrer Wirkung eingegrenzt bzw. blockiert wurden. Jedoch waren diese Prozesse meist nach einem Neustart des Computers wieder aktiviert (ich vermute, es waren Prozesse, die auch Systemprozesse sein können, bzw. Welche als Systemprozesse getarnt sind). Ich konnte selbständig und durch eigene Recherche immer noch nicht konkret die bösartigen Prozesse herauskristallisieren. Dass dies nur ein ein Profi kann, wurde mir sehr schnell klar. Spätestens jetzt weiß, dass ich sehr wenig über Computer und Windows weiß . Im Prinzip konnte ich die ganze Zeit über selbst nur versuchen, Stück für Stück Dinge ausschließen und mich vorzutasten, ich sehe jetzt aber an dem Punkt, wo ich meine eigenen Möglichkeiten völlig ausgeschöpft habe. Na ja, wenigstens habe ich etwas gelernt über die Zeit .

Ich hatte dann, nun online gehen könnend, mit Spybot Seach & Destroy gescannt und hatte dort auch Funde aufzuweisen, einige Registry-Einträge konnte man nicht entfernen. Der Scan (ich habe nicht mehr alle Log Dateien, eine habe ich gefunden s.u., ich hatte zeitweise auch nur Fotos vom Bildschirm gemacht, einfach um einfach unternommene Abläufe oder Schritte festzuhalten) machte mich überhaupt das erste Mal so richtig auf die Registry aufmerksam – bzw. wurde mir jetzt klar, warum so vieles nicht in der Suche unter C: finden konnte. Ich habe die Registry dann auch etwas durchstöbert und auch für mich komisch aussehende Einträge gefunden, z.B. auch Einträge die die Url‘s gewisser Seiten blockierten (z.B. Pandasecurity.com und auch Updates von Microsoftsicherheitssoftware ect.), welche ich dann gelöscht habe. Ich hatte auch einiges andere gelöscht, wohl wissend um das Risiko, wichtiges Einträge zu löschen, was dann auch passiert ist . Aber ich konnte ja neu installieren und habe danach auch mit den Versuchen eines dem selbstständigen „Bereinigens“ und Ausprobierens aufgehört .
Bei mir hat sich gerade beim nochmaligen Recherchieren im Internet die Frage aufgetan, ob es sich bei meiner Infektion vielleicht auch um einen Bios-Rootkit handeln könnte? Das wäre ja unschön.
(Nebenbemerkung: bei dem anderen infizierten Computer meiner Eltern, sieht es zumindest nach einer zusätzlichen Infektion der Netzwerkkarte aus, ich hatte jeweils nach Systemneuinstallation gleich mit GMER gescannt, einmal vor und einmal nach nach Herausnahme der ISDN- und Modem-Karten(2 getrennte Versuche), Gmer zeigte beim Scan nach Herausnahme beider Karten nichts an, im Gegensatz zu dem Fall, dass diese eingesteckt waren, aber das gehört ja jetzt nicht hierher).

Danach hatte ich mit Panda Security – Active-Online Scan einen Fund aufzuweisen, siehe unten.

Zudem fand damals beim zufälligen Suchen der Ursache sofort nach einer Systemneuinstallation (auch nach einem vorigem Extra-Formatieren) die Datei edb.chk (an 4 Orten). Wobei chk als „Wiederhergestelltes Dateifragment“ bezeichnet wurde. Dies machte mich stutzig, denn dies waren die einzigen für mich auffindbaren Dateien, die für das Weitergeben und Initiieren (alter) Maleware bzw. für die Tarnung in und auch Nutzung der Windows-Systemprozesse auschlaggebend sein müssten, es waren die einzigen wieder hergestellten Dateien. Zudem habe ich gelesen dass das Vorhandensein dieser Datei im Ordner: C:\Windows\System32\Catroot2 und zudem ein Abweichen von der üblichen Größe der Datei (ich glaube, 1KB) auf Maleware hinweist.

Da ich bis jetzt keinen Vergleich mit einem „sauberen“ Computer bzw. dem Normalzustand hatte, liste ich die Dateien einfach einmal auf.

edb.chk (chk= wiederhergestellte Dateifragmente) in C:\Windows\System 32\Catroot2
und an 3 anderen Orten (aktueller Zustand):
in C:\Windows\SoftwareDistribution\DataStore\Logs;
in C:\Users\admin\AppData\Local\Microsoft\WindowsMail und in
C: \Windows\security\database.

Diese Datei wurde auch durch Formatieren mit Boot &Nuke und Neuinstallationen des Systems nicht entfernt. Alle edb.chk Dateien sind 8 KB groß.

In Catroot 2 erscheinen diese edb-Dateien
edb.chk (8kb)
edb.log (64kb)
edb00628.log (64 kb)
edbres00001.jrs (64 kb)
edbres00002.jrs (64 kb)

Bei diesen Dateien (nur in Catroot und Catroot 2 der Fall) tritt der Benutzer "CryptSvc" und wechselnd (mal erscheinend und mal nicht) "Trusted Installer" auf. Als ich versucht habe, diese Benutzerrechte zu entfernen ebenso im übergeordneten Ordner, erschienen diese, sobald irgendein Prozess, eine Veränderung von mir am Computer vorgenommen, wieder. Ebenso weist der Ordner {F750E6C3-38EE-11D1-85E5-00C04FC295EE} in Catroot 2 diese Berechtigungen auf, zudem der Ordner Catroot.
Ich habe eben geschaut, die edb-Dateien erscheinen auch an den anderen o.g. Orten
( C:\Windows\SoftwareDistribution\DataStore\Logs; C:\Users\admin\AppData\Local\Microsoft\WindowsMail;C: \Windows\security\database).

Der Ordner C: \Windows\security\database enthält die Dateien:
edb.chk (8.0 kb)
edb.log (1.024kb)
edbres00001.jrs (1.024kb)
edbres00002.jrs (1.024 kb)
tmp.edb (1.032 kb) und die Datei
secedit.sdb (1.032 kb)

C:\Users\admin\AppData\Local\Microsoft\WindowsMail
enthält von den edb Dateien zusätzlich: edb0001.log

(ich zähle jetzt nicht alle vorhandenen Dateien des Windows Mail- Ordners auf und warte lieber auf Anweisungen, da ich ja nicht weiß, was überhaupt relevant und abnormal ist)
Unter C:\Users\admin\AppData\Local erscheint eine komische Datei:

GDIPFONTCACHEV1.DAT

(Anmerkung, ich nehme an , ich habe einige Maleware-Software versteckt auf meinem PC, ich hatte ja in der Registry viele „komische Einträge“ und Softwarebezeichnungen gesehen), da ich jedoch überhaupt keinen Überblick habe, kann ich ja nicht beurteilen, was normal und was Maleware ist).

Unter C:\Windows\SoftwareDistribution\DataStore\Logs
finde ich die Dateien:
edb.chk
edb.log (8kb)
edb00008.log (1.280 KB)
edb00009.log (1.280 KB)
edbres00001.jrs (1.280 KB)
edbres00002.jrs (1.280 KB)

unter C:\Windows\SoftwareDistribution\DataStore gibt es noch eine Datei:
DataStore.edb (8.256 kb)
unter C:\Windows\SoftwareDistribution erscheint:
ReportingEvents.log (5,7 kb)
Dies zur edb.chk-Datei.

Zum aktuellen Stand.
Ich hatte vor einigen Tagen diesen Post schon "im Groben" geschrieben, dann habe ich doch noch einmal eine wichtige Boot-Systemdatei gelöscht und musste das System neu installieren, diesmal tat ich dies das erste Mal unter Erhalt von Daten.
Das System wurde also neu installiert, während ich die Zeit nach der letzten Neuinstallation nicht online gegangen war, bin ich jetzt nach einem ersten Scan mit OTL auch kurz online gegangen (genauer Ablauf s.u.) und habe insgesamt noch einmal auch einige andere Scans „durchlaufen“ lassen.

Den folgenden Abschnitt hatte ich schon zuvor geschrieben, ich füge jetzt noch einmal die Veränderungen nach der Neuinstallation und einem kurzem Onlinegehen hinzu (wobei ich mir nicht sicher bin bezüglich irgend einer Relevanz des Posts):
„Da ich damals den Virus /Wurm (der ursprüngliche Überträger) in der System Volume Information - jedoch damals auf der externen Festplatte - hatte, poste ich auch einmal die Dateien, welche sich in entsprechendem Ordner in meinem Computer befinden, denn vor allem die erste Datei kommt mir verdächtig vor (von Knoppix aus gelesen).“

tracking.log (Anwendungsprotokoll) (20,5 kb)

Sonst enthält die System Volume Information noch die Dateien:

Syscache.hve.LOG2 (Einfaches Textdokument) (0kb)

Syscache.hve.LOG1 (Unbekannt) (119,8kb) (nach Neuinstallation u. Kurzem Onlinegehen: 262,1 kb)

Syscache.hve (Unbekannt) (786,4kb) (nach Neuinstallation 7,1 Mb)

MountPointManagerRemoteDatabase (Einfaches Textdokument) (0kb)

{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (65,5kb)

{630514e2-5fef-11e2-814d-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (183,0 Mb)
{61e65834-6200-11e2-b1fb-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (536,9 Mb)
{9e67e59b-61ff-11e2-aea0-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (145,1 Mb)

anstelle der letzten 3 Dateien nun nach Neuinstllation diese 2 Dateien:
{94f72e26-69f4-11e2-919f-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (536,9 MB)
und
{4dd8974a-685c-11e2-b963-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (334,0 MB)

daneben gibt es noch die 2 Ordner (ich liste die aktuellen Ordner nicht noch einmal auf)
“SPP” mit Unterordner “OnlineMetadataCache” inklusive der Dateien:
{f3381f0b-2d93-4f58-9404-872ae60f9c19}_OnDiskSnapshotProp (Unbekannt) (6,6kb) {e63a4c95-b621-4bbf-8f9c-fa8005b0a6b1}_OnDiskSnapshotProp (Unbekannt) (6,6 kb){226cf169-4201-4dae-9796-136aeb4b4dca}_OnDiskSnapshotProp (Unbekannt) (6,6 kb)
und “Windows Backup” mit dem Unterordner “Catalogs”, welcher die Datei “GlobalCatalogLock.dat”(Einfaches Textdokument) (0Bytes) enthält.

Im Folgenden nun einige über die Zeit gemachte Scans, wobei ich versuche, chronologisch zu posten.

Alte Gmer-Scans zeigten folgende Resultate, ich muss aber bemerken, das GMER auf meinem System, im Gegensatz zu den anderen Computern, nur einen Scan von Services, Registry und Files durchführen kann (die Kästchen der anderen Optionen lassen sich nicht anklicken bzw. Aktivieren):

Gmer (01.12.12):


Gmer (06.12.12)

Gmer (08.12.12) nach Systemneuinstallation:

Gmer (12.12.12)


Von einem Scan mit Spybot Search & Destroy am 01.01.13 habe ich noch eine "Check"- Datei, siehe Anhang.

Ich hatte ebenfalls Scans mit HijackThis durchgeführt, z.B. einen am 29.12.12, welchen ich bei Bedarf auch noch posten könnte.

Das Resultat eines Online-Active-Scans mit der Panda Security am 10.01.13 zeigte folgende Maleware im OEM an (welche ich durch die Software entfernen lassen habe):

00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup_mlp.cmd
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup.cmd
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\9rg85dxs.txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\t01lddfg.txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\fikutbjb.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\d3g98m5f.txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\7e30yvkx.txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\dqq09f6s.txt


Am 16.01.13, zum Zeitpunkt der vorletzten kompletten Neuinstallation des Systems (ohne jegliches Onlinegehen), vor der letzten (aktuellen) Neuinstallation des Systems am 26.01.13 (unter Erhalt der Daten mit kurzem Onlinegehen)
wurden folgende Scans vorgenommen:

Der Scan mit Malewarebytes ergab keinen Fund, wobei ich die Software nicht online aktualisieren konnte. Die ganzen letzten Monate habe ich ebenso keine Funde aufweisen können, obwohl zuvor online aktualisiert wurde.
Den aktuellen (gestrigen) Scan, konnte ich auch nur ohne vorheriges Online-Update ausführen.
Ich konnte zwar online gehen, der Download stoppte jedoch bei 4 % (ebenso wurden nach Aufruf keine Seiten im Browser geladen, wobei parallel und ohne mein Zutun andere Uploads und vor allem Downloads stattfanden, so dass ich bald wieder offline ging). Mindestens seit dieser Neuinstallation (wahrscheinlich sogar schon seit der "Bereinigung" duch Combofix oder durch andere eigene Säuberungen davor) wird der Anhang *32 übrigens nicht mehr im Taskmanager angezeigt. Zudem laufen nicht mehr so unheimlich viele blockierende Prozesse im Hintergrund ab.

Scan mit Malewarebytes (29.01.13)


Ein Scan mit TDSSKiller am 16.1.13 zeigte folgendes Resultat (vollständiger Scan im Anhang):


14:01:28.0939 4260 Detected object count: 1
14:01:28.0939 4260 Actual detected object count: 1
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - skipped by user
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
14:02:56.0065 4152 Deinitialize success

Ein nochmaliger Scan mit TDSSKiller am 29.1.13 ergab keinen Fund.

Mit PestPatrol (Kostenlose Testversion) fand ich am 16.01.13 (ist aktuell immer noch vorhanden) diese Maleware:

16.01.2013-14:03:51,30274546,1343962384, Detected,
AdClicker 1.0,Adware,453094156,ProcessId "2080" File "Ä",-1,
16.01.2013-14:03:52,30274546,1354882384,Detected,
Trojan.Win32.StartPage.fw,Homepage Hijacker,453087046,File "c:\windows\system32\mfplay.dll",-1100155866,

Zudem habe ich am 16.01.13 einen Scan mit dem DDS- Tool durchgeführt (Tool aus einem anderen Forum, wo ich aber nichts gepostet habe bzw. werde, kein Crossposting) Ich poste ihn mit im Anhang (Anhänge: "DDS" und "Attatch"), aus dem Grund, dass er vor meinem Scan mit Combofix erfolgte, bei welchem 3 Dateien entfernt wurden (ich war etwas voreilig, der Scan erfolgte bevor ich las, dass man dies nicht ohne Anweisung tun sollte).

Der Scan mit Combofix (erfolgte am 16.01.13 am Ende, nach allen anderen am 16.01.13 ausgeführten Scans) wird ebenfalls im Anhang gepostet.
Die Quarantäne-Datei zeigt folgendes:



Mit OTL habe ich inzwischen mehrmals gescannt. Ich poste den ersten Scan vom 20.01.13 siehe Anhang, (nach Neustart, ohne vorher online gegangen zu sein und nach den anderen Antimaleware-Scans, inklusive dem Scan mit Combofix, am 16.01.13).
Nach der Neuinstallation von Windows am 26.01.13 (mit Erhalt der Dateien) habe ich heute (29.01.13) mehrmals mit OTL gescannt. Ich poste den Scan nach dem Onlinegehen (was ich gestern das erste Mal seit der vorletzten Neuinstallation getan habe) und nach allen anderen Scans. Das erste Mal Onlinegehen, ca. 8:25 Uhr) war ein kurzer Test mit Browseraufruf, wobei wie schon erwähnt, Up-und Downloads liefen, jedoch die aufgerufene Internetseite selbst wurde nicht geladen. Ich ging noch einmal (8:42 Uhr) online, nach einem Neustart, wobei ich zudem eine 'Suche' im Windowsexplorer und in der Registry durchführte und den Musicplayer startete, als Test, weil diese Tätigkeiten normalerweise Prozesse in Gang setzten, ein Senden der Logs über meine Aktivitäten einschließend - was ich z.B. bei mehrmaligen Scans mit CC-Cleaner nach dem Onlinegehen (vor dem 16.01.13) gesehen hatte. Zuletzt (ca. 11:50 Uhr) wollte ich Malewarebytes "updaten" was jedoch auch diesmal nicht klappte, wie oben schon erwähnt, da das Internet grundlegend durch "fremde“ Download- und einige Uploadvorgänge geblockt wird (bei weiterem stetigem Downloadfluss anderer Daten ohne mein Zutun, wobei das automatische Update von McAfee ausgeschaltet war). Ok, das automatische Windowsupdate habe ich in diesem Falle nicht berücksichtigt, wobei dies den Internetzugang nicht völlig "blockieren " würde. Ich habe die Probleme ja schon seit langer Zeit, auch während abgestellten Automatischen Updates sowie allen anderen möglichen Ursachen.
Ich wollte nun sowie erst einmal Hilfe in Anspruch nehmen, ehe ich mich mit eigenen versuchen weiter "quäle", denn das hat letztendlich leider absolut nichts gebracht .

Zu guter Letzt der gestrige Scan mit Gmer (wobei es ebenfalls immer noch ausschließlich nur möglich ist, die Häkchen bei Services, Registry und Files zu setzen):

Im Rahmen der Bereinigung kann ich also momentan nur über Knoppix online gehen, um Software downzuloaden und hier zu posten, bis mein System ein Onlinegehen wieder zulässt.

Ich hoffe sehr auf Eure Hilfe und sage jetzt schon einmal Danke!

Liebe Grüße,
Lydia33

Angehängte Dateien

	Attach.7z (1,9 KB, 137x aufgerufen)
	TDSSKiller.2.8.15.0_16.01.2013_14.00.28_log.7z (23,6 KB, 150x aufgerufen)
	Spybot Checks.130101-1757.7z (1,5 KB, 146x aufgerufen)
	Bitdefender Log.7z (69,3 KB, 135x aufgerufen)
	DDS.7z (5,8 KB, 145x aufgerufen)
	combofix.7z (5,6 KB, 151x aufgerufen)
	OTL 20.01.12.7z (10,3 KB, 131x aufgerufen)
	OTL.7z (13,8 KB, 141x aufgerufen)