Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG
 

Hallo Ich bekam am 05.10.2011 gegen 20Uhr eine Facebooknachricht von einer Freundin. Darin stand nur folgender Link:

hxxp://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG

Natürlich, blöd wie ich war, habe ich ihn angeklickt. Danach kamen vllt. 50 Meldungen von der Benutzerkontensteuerung. Ich sollte Datein, die viele Ziffern enthielten, zulassen. z.B. "5763892792.exe"
Meiner Meinung nach habe ich vllt. die erste und zweite zugelassen. Danach wurde ich stutzig und lehnte alle weiteren ab.
Dann führte ich eine Systemwiederherstellung durch. War aber nicht erfolgreich. Aber für den 05.10. kam erstmal nichts verdächtiges mehr.

Am 06.10. kamen gg 20Uhr (keine Ahnung ob das Zufall ist) wieder viele von diesen o.g. Benutzerkontensteuerungsanfragen. Ich habe alle abgelehnt. Daraufhin habe ich ein wenig recherchiert, aber nichts weiter gefunden. Der Wurm/Virus war wohl relativ neu.

Habe im Task Manager die CPU Auslastung gecheckt. Diese war relativ hoch, obwohl nichts im Reiter "Prozesse" zu sehen war. Nach einem Klick auf "Prozesse aller Benutzer anzeigen" fiel mir die enorme Anzahl an "svchost.exe" auf. Momentan sind es 14 Stück. Weiterhin sind 3 "iexplore.exe" geöffnet. Beim Öffnen des Firefox kommt eine Benutzerkontenmeldung, ob ich "firefox.exe" zulassen möchte. Ich klicke "nein", da mich die Kontensteuerung in letzter Zeit sehr verunsichert. Der Firefox funktioniert, seitdem dieses Fenster vorher kommt, nichtmehr.

Als Nächstes finde ich auffällige Prozesse im Task Manager: "lvvm.exe" (Beschreibung: lvvm), "dwm.exe" (Beschreibung: dwm) -> dwm.exe (Beschreibung: "Desktop Window Manager" gibt es extra noch), "conhost.exe" (Beschreibung: conhost) -> conhost.exe (Beschreibung: "Host für Konsolenfenster" gibt es extra noch)

Weiterhin kommen bei Suchanfragen über die Google Searchbar manchmal irgendwelche anderen Dinge. Habe aber jetzt keine genauen Seiten, da der Firefox nichtmehr funktioniert. Der Internet Explorer funktioniert momentan noch relativ problemlos.

Der Laptop an sich ist seitdem verhältnismäßig langsam. Es beginnt bei der Anmeldung. Windows 7 Passwortabfrage dauert vllt. 10s statt üblich 1-2s. Der Lüfterläuft permanent, weil eine der vielen svchost.exe über die Dauer den Arbeitsspeicher voll macht und somit die Systemauslastung steigt.

Was kann ich tun? Über Hilfe würde ich mich sehr freuen!

PS:
OTL
EXTRA
GMER
sind im Anhang

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo! Und schonmal danke, für die schnelle Nachricht!

Hier die Malwarebytes Log:


Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7924

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

12.10.2011 14:00:11
mbam-log-2011-10-12 (14-00-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 535495
Laufzeit: 2 Stunde(n), 54 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> 1560 -> Unloaded process successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> 1904 -> Unloaded process successfully.
c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> 1980 -> Unloaded process successfully.
c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 3960 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEXPLORE.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\155.exe (Backdoor.Bot) -> Value: 155.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\C1B3\155.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\H8WKO9DV\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\Temp\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\Temp\dwm.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Tommy\AppData\Roaming\firefox.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\iexplore.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

vorige Logfiles sind als Anhang verfügbar!

die ESET log.txt folgt! Bin grade dabei!

SORRY, dass ich mich erst sö spät melde, aber ...

nachdem ich den Malwarebytes Vollscan durchgeführt und die infizierten Datein gelöscht habe, habe ich einen Neustart durchgeführt um die übrigen Datein loszuwerden. Danach wollte ich sofort einen ESET Scan machen. Worauf der Laptop einen Bluescreen zeigte. Nach 4 bis 5 Versuchen stellte ich fest, dass der Laptop immer ca. 1-2 Minuten nach dem Hochfahren abstürzt. Es liegt augenscheinlich am Löschen der "vor dem Neustart nicht löschbaren Daten". Ich kann jetzt auch nichtmehr wirklich etwas am Rechner machen. Was kann ich tun, um ihn wieder in Gang zu bekommen? Evtl. abgesicherter Modus o.ä.? Kann ich irgendwie meine Daten retten, ohne andere Dinge zu infizieren? Bekomme ich die Malwaredaten irgendwie zumindest zurück in die Quarantäne oder so?

Ich möchte am Rechner jetzt nicht "irgendetwas" versuchen, weil die Abstürze sicher nicht gut sind.

Vielen Dank schon einmal für eine Antwort.

Hast du die Abstürze auch im abgesicherten Modus?

Hallo, hab den Rechner wieder zum Laufen bekommen. Konnte Ihn mit den letzten bekannten funktionierenden Einstellungen starten, oder so ähnlich. Danach war Malwarebytes wieder entfernt. habe deshalb erstmal nur den ESET Scan gemacht, welcher folgende Log.txt lieferte:


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6a78fce0e5ff3043a61b2ba932449ced
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-13 10:05:35
# local_time=2011-10-14 12:05:35 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 100 688824 93419660 593532 0
# compatibility_mode=5893 16776573 100 94 74726 70157887 0 0
# compatibility_mode=8192 67108863 100 0 1672 1672 0 0
# scanned=364154
# found=19
# cleaned=0
# scan_time=16838
C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H8WKO9DV\l[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YU69ZEMZ\fu[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Temp\3563225.exe a variant of Win32/Kryptik.TWC trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Temp\dwm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\conhost.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\firefox.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\iexplore.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\Microsoft\csrss.exe a variant of Win32/Kryptik.TQJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\Microsoft\lvvm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\Downloads\freeripmp3.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\4a845153-19811dbe a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\110b23dd-48dbae11 Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6069a99f-2c4fd5ad a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\760fb827-376048f6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\7fc86eef-5743fedb a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\277ba57e-4dc0cda6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\3104b1ff-1681fbbc Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} multiple threats 00000000000000000000000000000000 I




Hoffe Du/Ihr könnt mir so helfen, dass ich die ganze Aktion irgendwie geregelt bekomme. ( Also möglichst ohne neues draufziehen von Windows.)

Grüße

mach bitte ein neues OTL-Custom-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread