Guten Abend, Nicole!

Zitat:

Zitat von spifra

Hallo Markus,
ich werde bis Januar in Mexiko sein.

Ui - das ist aber noch arg lang, bis das System "daheim" wieder komplett auf Vordermann gebracht werden könnte. Da bleiben nur diese Möglichkeiten:

1.) System bis dahin nicht benutzen bzw. nur offline verwenden. Allerdings: Selbst beim ausschließlichen Offline-Betrieb bestünde das Risiko fort, dass Schädlinge von Deinem auf andere Systeme via USB-Stick weiterverbreitet werden.

2.) Das System vor Ort erneuern oder erneuern lassen. Allerdings bezweifle ich, von der zusätzlichen finanziellen Belastung noch gar nicht mal zu reden, dass Du in Mexico ein deutschsprachiges Windows XP bekommen könntest. Auch die notwendigen Treiber für Deine Hardware hättest Du dadurch noch nicht beisammen.

3.) Das Sichtbare an Malware via Ferndiagnose entfernen und "hoffen und beten", dass wirklich keine unentdeckten aktiven Komponenten verblieben sind. Dafür kann man aufgrund des hier vorliegenden Infektionsbildes absolut keine Garantie übernehmen und man sollte versuchen, unter allen Umständen den fortdauernden Betrieb im kompromittierten Zustand zu vermeiden.

In Deinem Fall ist es ein Dilemma: Du brauchst den PC, so wie ich das sehe, dringend zum Arbeiten, kannst also absolut nicht auf ihn und die gespeicherten Daten verzichten, auf der anderen Seite musst Du bei einem in diesem Zustand fortgeführten Betrieb damit rechnen, dass u.a. Deine Daten ausgelesen oder das System für die Zwecke Dritter missbraucht wird.

Zitat:

Geben Dir meine Berichte aus AntiVir eigentlich noch Aufschluss über weitere Probleme?

Ich sage mal so - über eine Reihe zusätzlicher Probleme der gleichen Kategorie.

Man kann gerne weitere Analysen durchführen, muss sich aber stets der oben geschilderten Problematik bewusst sein. Bevor wir das machen, eine Frage zu den inzwischen von Dir durchgeführten Programmupdates: Was hast Du bis dato aktualisiert? Windows? Und was noch?

Hi,

irgendwie macht mir das ja Bauchschmerzen, aber ich hab auch Verständnis für Leute, die mit ihrem Notebook in der Welt unterwegs sind, denn demnächst werde ich auch dazu gehören (ein paar CDs werde ich allerdings noch im Rucksack unterbringen können), ¡Hola México!. Versuchen wir also das beste aus der blöden Situation zu machen, damit zumindest das Restrisiko möglichst klein wird.


Doppelklick auf den Regenschirm in der Taskleiste, Im Kontrollcenter nun Menü Extras -> Konfiguration (oder gleich F8). Links oben das Feld für "Expertenmodus" anhaken, da ansonsten einige der benötigten Optionen nicht sichtbar sind. Stelle nun folgende Optionen ein, notiere die alten, um sie später wieder zurücksetzen zu können:

Scanner

• Suche: Hier wähle "Alle Dateien", unter "Weitere Einstellungen" alles anhaken.
  • Aktion bei Fund: "Automatisch" wählen mit "ignorieren" als primärer Aktion, dieser Suchlauf soll nur zur Diagnose sein. Falls dich das Gepiepe nerven könnte, schalte "Akustische Warnung" unter "Weitere Aktionen" aus.
  • Archive: "Archive durchsuchen", "Alle Archiv-Typen", "Smart Extensions" anhaken, "Rekursionstiefe einschränken" soll nicht angehakt sein.
  • Ausnahmen: In dem Fenster rechts soll nichts stehen, eventuell vorhandene Einträge markieren und mit Klick auf "Löschen" entfernen.
  • Heuristik: "Makrovirenheuristik" und "Win32 Dateiheuristik" anhaken, dadrunter "Erkennungsstufe hoch" wählen.

Allgemeines

• Erweiterte Gefahrenkategorien: "Alle aktivieren", danach rechts in der Liste "Spiele" wieder abwählen.

Antivirupdate machen, in den abgesicherten Modus (ohne Netzwerktreiber) starten, von Antivir das System komplett scannen lassen, Scanbericht speichern. Zurück in den normalen Modus und Scanbericht posten. Sollte der zu lang für dieses Forum werden (ich weiß gerade nicht, ob es hier ein Limit für die Beitragsgröße gibt), dann ihn entweder auf mehrere Beiträge aufteilen oder bei File-Upload hochladen und den Downloadlink posten.


Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.


Es ist wichtig, dass während der Ausführung dieser Anleitung der Computer mit dem Internet verbunden ist. Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:

• "Include Empty Locations" -> ein (Haken)
• "Verify Code Signatures" -> ein (Haken)
• "Hide Signed Microsoft Entries" -> aus (kein Haken)

Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.

Ich habe alle Anweisungen brav ausgeführt. Du hattest Recht KarlKarl, es gibt ein Limit von 25.000 Zeichen für die Beitragsgröße, die ich locker überschritten hätte. Deshalb wie empfohlen, habe ich die Berichte bei file-upload hochgeladen:


Bericht aus Suchlauf mit AntiVir im abgesicherten Modus

Ergebnisse aus filelist.bat

Ergebnisse aus Autoruns


Des Weiteren habe ich neben dem Microsoft-Update folgende Programme aktualisiert:
- Real Player
- Internet Explorer
- Java

Das sieht ja relativ gut aus, aber ein paar sich aus den Ergebnissen anschließende Überprüfungen:

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

• VirusTotal
• Jotti

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

• c:\windows\system32\drivers\fbapi.sys
• C:\Programme\Asistente Prodigy\ctrbt.exe
• c:\windows\system32\advapi32.dll
• c:\windows\system32\mswsock.dll

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden, gerade MD5 interessiert mich hier besonders).

Für die fbapi.sys mit dem Explorer zu ihr gehen, Rechtsklick -> Eigenschaften: Dort die unter "Allgemein" Datum von "Erstellt" und "geändert am" ermitteln, unter "Version" alle verfügbaren Daten.


Ansonsten hat Antivir nur zwei Mails in deinem Posteingang als Phishmails bemängelt. Ich bin mir nicht einmal sicher, ob es sich nicht um Fehlalarme handelt. Hast Du mit Ebay zu tun? Solange Du ihre Seite nicht mit Links aus Mails öffnest, liegst Du soweit auf der sicheren Seite.


Weiterhin sollten wir ein paar Rootkitscanner einsetzen. Ich habe zwar keinen konkreten Verdacht, aber gerade das ist normal, da Rootkits Sachen vor anderen Programmen verstecken.

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner fsbl.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

auto_runs_041.log filelist_179.log

Leute, an dieser Stelle erstmal ein HERZLICHES Dankeschön, dass ihr Euch so um mein befallenes System kümmert. Das ist echt super.

Ich arbeite weiter daran und melde mich wieder mit den Ergebnissen der weiteren Untersuchungen.

Zitat:

Zitat von spifra

Des Weiteren habe ich neben dem Microsoft-Update folgende Programme aktualisiert:
- Real Player
- Internet Explorer
- Java

Wenn Du die Tipps von Karl abgearbeitet hast, lass bezüglich der Aktualität der bei Dir installierten Programme diesen Scan laufen:
Prüfung installierter Software auf Aktualität: Secunia Software Inspector

Berichte im Anschluss über Komponenten, die als "nicht aktuell" ausfindig gemacht wurden.

Meine Ergebnisse aus VirusTotal

* c:\windows\system32\drivers\fbapi.sys
* c:\windows\system32\advapi32.dll
* c:\windows\system32\mswsock.dll

Den Scan von C:\Programme\Asistente Prodigy\ctrbt.exe
habe ich nicht gemacht, da ich sie schon gelöscht habe.

Eigenschaften von fbapi.sys
erstellt am 26. Dezember 2004
geändert am 18. Mai 2004
Version: keine Infos unter diesem Punkt

ebay
das sind sicherlich Fehlermeldungen. Selbst wenn nicht, ich öffne keine Websites aus Emails.

Ergebnisse der Rootkit-Scanner
Gmer
Catchme
RootkitRevealer
Blacklight


Mir sagt das alles herzlich wenig, aber deshalb bin ich ja hier, nicht wahr.

Zitat:

Zitat von spifra

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\fbapi.sys
         

Es melden zwei Scanner ein Rootkit, allerdings weisen vorhergegangene Betrachtungen dieser Datei in die Richtung, dass es sich ebensogut um einen False Positive, also einen Fehlalarm handeln könnte.

Da jedoch das System in diesem Zustand leider noch einige Zeit am Netz verbleiben wird, sollte ganz genau hingeschaut werden. Gelingt es Dir, die Datei fbapi.sys einer E-Mail anzuhängen und dann an die hier ersichtliche E-Mail-Adresse zu senden? (Edit / Hinweis: Link nachträglich korrigiert.)

Soweit erstmal - die anderen LogFiles bzw. Reporte sehen nach dem ersten Betrachten "in Ordnung" aus. Ein zweiter, wacher Blick am Tage wird dem ersten aber sicher noch folgen.

Zitat:

Zitat von mmk

Gelingt es Dir, die Datei fbapi.sys einer E-Mail anzuhängen und dann an die hier ersichtliche E-Mail-Adresse zu senden?

Mir wird bei Klick auf den Button keine Email-Adresse angezeigt ...

Zitat:

Zitat von spifra

Mir wird bei Klick auf den Button keine Email-Adresse angezeigt ...

Ja, kein Wunder, weil ich ein *** (Selbstzensur) bin und Dir den falschen Link gepostet habe. Ich bitte um Entschuldigung!

Richtig: sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Ich denke auch, dass das recht gut aussieht, soweit man das mit solchen Fernanalysen sagen kann. In deiner PN-Box findest Du eine Nachricht mit meiner Mailadresse, ich würde mir die Datei auch gerne mal ansehen.

Außerdem habe ich da z.B. diesen Thread entdeckt, in dem die Datei auch eine Rolle spielt (MD5 identisch). Das war im März, da wurde sie noch von mehr Scannern erkannt. Antivir, AVG, Fortinet und Nod erkennen sie unterdessen nicht mehr. Ikarus und VBA32 halte ich nicht gerade für eine Referenz.