DHL-Trojaner ?

suomynona

Hallo,

also auf Anraten aus dem Dr. Windows Forum eröffne ich hier nun auch ein Thema. Da ich die lange Geschichte jetzt schon öfters in jenem Forum gepostet habe, werde ich einiges einfach nur kopieren+einfügen, wenn das ok ist.

Die Vorgeschichte:

Habe gestern ne Mail bekommen von DHL von wegen ein Paket wär nicht angekommen, im Anhang war ne .zip Datei, die hab ich runtergeladen. Dann is das Saudumme passiert, habe die Datei per WinZip geöffnent und dann dummerweise wie reflexartig auf der Datei, die ich eigentlich nur ansehn wollte (ohne zu entpacken) nen Doppelklick ausgeführt.
Dies war ein Versehen, weil ich zu der Zeit grade ständig doppelgeklickt hab und dann ists eben auch auf dieser Datei passiert. (Ich weiß also natürlich, daß man sowas nicht macht)

Obwohl die Datei an sich net entpackt wurde, hatte ich ein schlechtes Gefühl, hab im Internet nachgesehn und im Trojanerboard den Hinweis auf eine neue Datei im Autostart entdeckt. Leider leider habe ich diese Datei trotzdem bei mir gefunden, denke also, daß ich den Trojaner trotzdem habe und das obwohl mein PC scheinbar noch gut funktioniert und Malwarebytes Anti Malware (kostenlose Version) nichts findet (durchsucht aber scheinbar auch eh nur C: )! ("Trotzdem" deshalb, weil ich noch gehofft habe wegen dem, daß ich die Datei ja eigentlich gar nicht wirklich entpackt hatte), gleich deaktiviert und neugestartet und gleich mit Kaspersky Rescue Disk 10 gebootet.
Die Datenbank ist aber stark veraltet - und da ich keine Internetverbindung herstellen kann mit diesem Kaspersky Rescue kann ich keine Updates machen.

Da ich nun schon öfters neu installiert habe und das alles recht schnell geht, habe ich mir gedacht, dann installier ich halt gleich das ganze Windows 7 neu.
Nun ist mir aber was aufgefallen, was evtl. sehr bedeutsam ist:
Ich hab ne SSD (C: ) mit Betriebssystem, Spielen, Programmen, etc. und ne HDD (D: ) für Bilder, Videos, v.a. wichtige Images, Treiber, Programme für Neuinstallation etc.pp.
Das Problem ist, die .zip Datei von DHL befand sich, als ich die .exe gedrückt habe, auf D:\Downloads, d.h. auf der Festplatte, die eigentlich nicht von ner Neuinstallation von Windows 7 betroffen wäre.

Kann der Virus weiteren Schaden auf Festplatte D: anrichten?

Kann ich das Problem mit einer Neuinstallation überhaupt beheben?

Hier ist alles, was ich bisher getan habe:

-Nach dem Klicken auf die .exe kam ne kurze Fehlermeldung, irgendwas konnte nicht geöffnet werden mit Adobe Reader.

-Danach recht schnell begriffen -> im Autostart verdächtige Datei gefunden und deaktiviert.

-neugestartet und gleich mit Kaspersky Rescue 10 gebootet. War überrascht, daß das im Grafikmodus (kannte bisher nur den Textmodus) aussieht wie ein eigenes Betriebssystem. Mit eigenem Webbrowser etc. Sah aus wie Windows 7 nur etwas entfremdet.

-Da hatte ich keine Internetverbindung, hab rechts unten an der Anzeige rumgeklickt und bei u.a. 'VPN konfigurieren' kamen solche Fenster mit irgendwelchen Gateways, IP Adressen, etcpp.

-> hab echt gar keine Ahnung von solchen Sachen und dachte mir deshalb, ich installiere leichter Windows 7 neu als mich da jetzt sicherlich erfolglos an Sachen zu wagen, von denen ich halt echt nicht weiß, was ich dabei tu.

- danach im Dr.Windows Forum gefragt und AdwCleaner und MBAM drüberlaufen lassen. Danach besagte .exe-Datei und auch die .zip-Datei manuell in den Papierkorb getan, den geleert.

- seitdem ich die .exe gelöscht hab, stehn im Autostart folgende Daten. Der abgefahrene Name unter "Systemstartelement" heißt jetzt "b29d44ee1b4e301abb9b0e5fdb5f432" und der Hersteller ist "Unbekannt". Befehl ist "C:\Users\Benutzername\AppData\Local\b29d44ee1b4e301abb9b0e5fdb5f432.exe" und Ort "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Derselbe Befehl wie davor (Daten vor der Löschung siehe unten*), die Datei ist dort nur nicht mehr, weil ich sie ja eben gelöscht habe.

-danach habe ich zufällig (echt irre!) in C:\Users\Benutzername\AppData\Local\Temp\7zO984E.tmp eine "DHL_Report_3701998557____ID27_DHL_DE_M05___BD27_05_2015___22_20_15___MessageId_ 039477.exe" gefunden, die ganz offensichtlich damit zu tun hat!!

-Habe diesmal im abgesicherten Modus zuerst einen empfohlenen Virenscanner benutzt (McAfee Stinger), danach AdwCleaner und danach Malwarebytes Anti Malware drüberlaufen lassen, und es findet nichts.

Der Autostarteintrag ist immernoch da. Ansonsten läuft mein Laptop aber scheinbar einwandfrei.

Was gilt es zu tun?

Ich bitte um Eure Hilfe!

Viele Grüße
suomynona



Achja, also Logs o.ä. gibts nicht, weil die ganzen Suchprogramme ja nichts erkennen!




*Das Ding im Autostart heißt Systemstartelement "etermination for clinical indications and for some single gene disorders including achondroplasia and ...". Hersteller ist "Flash", Befehl "C\Users\Benutzername\AppData\Local\b29d44ee1b4e301abb9b0e5fdb5f4.exe". Der Ort "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run".