Security Sphere 2012 - Immer noch Fehler nach Entfernung!
 

Guten Tag,

ich habe mir kürzlich Security Sphere eingefangen, konnte aber dank der super Anleitung hier im Board die Symptome schnell entfernen.

Allerdings bleiben noch einige wichtige Fragen offen.
Die wichtigste natürlich:

1.) Ist mein System jetzt komplett sauber?
(Logfiles hierzu im Anhang)
Wird evtl. noch was benötigt?
Update:Ich sollte hier vielleicht noch erwähnen, dass Windows vor dem Herunterfahren immer meldet, dass noch Programme im Hintergrund aktiv sind, obwohl ich alles beendet habe. Es wird auch nichts bestimmtes genannt, aber ich muss das Herunterfahren immer erzwingen.

2.) Desweiteren würde mich interessieren, warum nach dem Entfernungsvorgang meine zweite Festplatte nicht mehr angezeigt wurde (auch nicht in der Datenträgerverwaltung) und auch nicht mehr zugänglich war.
Erst nachdem ich gerade nochmal einen aktualisierten (hundertsten) Quickscan mit MalwareBytes durchgeführt habe (wurde nichts gefunden) war nach dem Reboot alles wieder so wie vorher.
Mich interessiert das nur, weil ich sichergehen möchte, dass da in Zukunft in der Richtung nichts mehr auf mich zukommt oder zurückfällt.
Update: Nachdem ich den PC gerade eben nochmal neugestartet habe ist die Festplatte wieder verschwunden. Auch alle Desktopverknüpfungen, die zu der Festplatte führen zeigen das Windows-Default Icon, was ja wohl heißt, dass sie nicht auf das eigentliche Icon auf der Festplatte zugreifen können.

3.) Einige Ordner auf der primären Festplatte sind mit einem Schlosse versehen (lassen sich nicht öffnen). Wurde das von dem Virus oder von einem der Beseitigungsprogramme verursacht und wie kann ich das entfernen?
- Screenshot im Anhang -

4.) Nach dem Entfernen hat MalwareBytes und rechts an der Taskleiste öfters eine Meldung hervorgebracht, dass eine schädliche Website erfolgreich geblockt wurde. Nach mehreren Scans ohne Funde ist die Meldung allerdings verschwunden, aber alleine durchs Scannen wird doch nichts entfernt, oder?

5.) Anscheinend werden keine von mir vorgenommenen Einstellungen mehr gespeichert, insbesondere was Firefox angeht. Das Programm ist nach jedem Neustart wieder unten an der Taskleiste angeheftet, obwohl ich es jedes mal von dort entferne und bei jedem Start werde ich immer wieder gefragt, ob ich Firefox als Standardbrowser festlegen möchte. Da scheint also auch noch irgendwas nicht zu stimmen. Könnte das vielleicht was mit der neuen Hosts Datei zu tun haben?

6.) Zum Abschluss eine einfache Nachhaltigkeitsfrage:
Ich habe mein System bis jetzt immer nur mit AntiVir geschützt. Was empfehlen denn die Profis hier um solche Zwischenfälle in Zukunft besser vermeiden zu können?

Das ist unter Win7 völlig normal.

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?




Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=30681a09a98fe9408f0273733e0b969e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-07 12:43:46
# local_time=2011-11-07 01:43:46 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775145 100 94 149866 57204891 172385 0
# compatibility_mode=5893 16776573 100 94 4326 72297920 0 0
# compatibility_mode=8192 67108863 100 0 3811 3811 0 0
# scanned=157667
# found=6
# cleaned=0
# scan_time=1756
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\237a7000-3ec41f4d multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\338e794b-1b558cb2 Java/Exploit.Agent.NAO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\5b0c76db-5e9c25b2 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\1d4e065f-3e966d9c multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\14a81db9-35eb6f23 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Start\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\352c843c-4bbf82c8 Java/TrojanDownloader.OpenStream.NBL trojan (unable to clean) 00000000000000000000000000000000 I

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes Log
SASW Log

ESET Log

Hatte aus versehen zuerst einen Log aus einem nicht-aktualisiertem Malwarebytes gepostet. Habe jetzt aber oben einen aktuellen reineditiert.

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Meine zweite Festplatte wird immer noch nicht angezeigt.
Ich denke da ist irgendwie beim Säuberungsverfahren ein Eintrag oder ähnliches verschwunden. Ich bin allerdings auch kein Spezialist auf dem Gebiet. Ich glaube ich wüsste noch nichtmal wie man die Festplatte neu anschließt um das irgendwie zu beheben. Vorgestern habe ich es aber geschafft, dass die Festplatte nach ca. 10 Reboots auf einmal wieder da war. Habs seitdem noch ein paar mal versucht, aber ohne Erfolg.

Ebenfalls besteht weiterhin das Problem, dass Windows beim Runterfahren/Rebooten immer behauptet, dass noch Programme im Hintergrund aktiv sind, mir aber nichts weiter anzeigt. Ich muss den Reboot also immer erzwingen. Die Meldung kommt selbst wenn ich nach dem Reboot direkt wieder herunterfahre, also noch nichts geöffnet habe.
Wenn du aber sagst, dass mein System sauber ist und es sich dabei ebenfalls nur um einen durch die Säuberung entstandenen Fehler handelt stört es mich nicht weiter.
Wichtig wäre, wie bereits erwähnt, dann nur noch die Festplatte. Da die primäre Festplatte eine kleine SSD für das System und ein paar wenige Programme ist, handelt es sich bei der zweiten, "fehlenden" Festplatte um den Speicher für ca. 99% meiner Daten. Und die möchte ich ungerne verlieren.

Mach einen Screenshot von der Datenträgerverwaltung und poste den hier

Wenn ich in die Datenträgerverwaltung gehe kommt zunächst das hier:

http://www.abload.de/img/datentr1u9fv1.jpg


Nachdem ich auf OK gedrückt habe:

http://www.abload.de/img/datentr2itdww.jpg

Screenshot der gesamten Datenträgerverwaltung ist im Anhang (ist jetzt gerade das erste mal, dass die zweite Festplatte dort überhaupt auftaucht)

Die Partition auf der 1TB-Platte wurde "abgeschossen". Mit etwas Glück kannst du die Partitionstabelle wiederherstellen und und somit an die Daten wieder rankommen.

Schau mal hier, erst Anleitung zu Testdisk lesen => Faq - Datenrettung + TestDisk-Anleitung - ComputerBase Forum

Mit diesem Tool kannst du vllt Glück haben-

Der Datenträger wird in TestDisk gelistet, aber wenn ich versuche die Partition zu schreiben kommt immer die Meldung: Partition: Write Error

Du hast TestDisk auch per Rechtsklick als ADmin ausgeführt? Nicht expliziz als Admin ausführen ist der häufigste Fehler. Wenn das nicht hinhaut musst du dein Glück mit der Testdisk-Live-CD probieren oder TestDisk unter Linux ausführen.

Mit Testdisk läuft überhaupt nichts. Das Programm (egal wie es gestartet wird) findet immer nur die Festplatte als Volumen, aber keine Partitionen. Wenn man irgendetwas erstellen/ändern will kommt immer der gleiche Write Error.

Wenn es kein Alternativ-Tool gibt bleibt mir wohl nur eine professionelle Datenrettungsfirma, wobei ich immer noch glaube, dass es irgendein blöder Fehler ist, den man an der richtigen Stelle relativ einfach beheben kann.
Denn zerstört wurde das ganze ja nicht durch den Virus, sondern erst durch die ganzen Reinigungsprogramme danach.

Welches Reinigungsprogramm soll diene Partition zerstört haben? Ich hab hier noch dutzende andere Stränge auf und noch nie hat eins der eingesetzten Tools eine Partition abgeschossen. Entweder war es der Schädling, ein Versehen von dir oder die Platte hat einen Defekt.

Wie gesagt probier Testdisk in einem Live-System mal aus.

Hat leider auch nicht geholfen.

ABER:

Hab den PC eben hochgefahren und siehe da: Festplatte ist wieder da und problemlos zugängig (hat aber nichts mit TestDisk o.ä. zu tun, weil ich in der Richtung schon seit gestern morgen nichts mehr gemacht habe).

Ich werde den PC jetzt aber nicht ausschalten bis die Daten gesichert sind.

Kann ich denn jetzt, wo die Platte sichtbar ist irgendetwas machen um zu verhindern, dass sie wieder verschwindet?