Rootkit.0Access und vier weitere Trojaner in C:\WINDOWS\Installer\...
 

Hallo liebes Trojaner-Board-Team,

nun gehöre ich auch zum erlauchten Kreis derjenigen, die sich ein paar ordentliche Plagegeister eingefangen haben. :pfeiff:

Seit gestern habe ich den bereits o.g. Rootkit0.Access, Trojan.Small, Trojan.Zaccess, Trojan.Sirefef und zweimal Trojan.Dropper.PE4 auf dem Rechner.

Von den anderen Betroffenen hier habe ich die Erkenntnis, dass damit nicht zu Spaßen ist. Also Online-Banking ist schon deaktiviert und die Kreditkarte ebenfalls.

Malwarebytes habe ich laufen lassen und nun sind sie in Quarantäne.
Die LOG-Datei von dem Lauf sieht folgendermaßen aus:Der Rechner muss tatsächlich komplett formatiert werden um für die Zukunft auf Nummer sicher zu gehen?!

Ich bin für jede Hilfe absolut dankbar!!!!

LG Alex

:hallo:

Hoffe ich versteh dich jetzt richtig. Für mich ist das grammatikalisch unklar.
Bei dieser Infektion, Ja

Hallo Daniel,

danke für den Willkommensgruß und die schnelle Antwort! Ja, Du hast mich
richtig verstanden. Das war eine leicht entsetzte Frage von mir.

Ojeoje, also wirklich komplett löschen. Hmm, ich habe nur einen kleinen Laptop ohne CD-Laufwerk. Eine originale CD mit Windows XP habe ich allerdings noch von meinem alten, ausgemusterten Rechner.
Besteht die Möglichkeit, irgendwie ein externes CD-Laufwerk anzuschließen und mit der Windows XP-CD den Laptop dann zu starten?
Das Problem wäre halt nur, dass ich die besagte Windows-Version schon damals für den alten Rechner aktiviert habe. Oder würde das trotzdem gehen?

Noch eine Frage aus eurer Erfahrung. Muss ich im jetzigen Status (die Trojaner sind in Quarantäne) Angst haben, dass beim "normalen" Surfen Daten von meinem Rechner übertragen werden?
Oder wenn ich eine Word-Datei in einer Dropbox speichere, könnten dann die Trojaner mit übertragen werden und andere Rechner infizieren?

Viele Grüße und ein schönes Wochenende
Alex

Sorry, Wochenende war etwas stressig.

Wie gesagt, wir könnes das auch bereinigen nur ist es bei einem XP System bisschen schwieriger.


Ich tippe mal, der Laptop ist ein Netbook oder ? Das sollte für gewöhnlich einer Recovery Partition besitzen, die man beim Starten starten kann.


Betriebsanleitung oder mir sagen, um welches Teil es sich hier genau handelt.

Hallo Daniel,
vielen Dank für Deine Antwort. Und, bloß keinen Stress! Wochenende ist heilig :-)
Habe vorübergehend einen alten Rechner von mir aktiviert.

Der kleine Läppi ist ein Samsung NP-NC10
CPU 270
mit 1.6 GHZ und 1.99 GB RAM
läuft auf Windows XP Home Edition Version 2002, Service Pack 3
Betriebsanleitung hab ich leider keine, weil ich das Gerät einem ehemaligen Kommilitonen abgekauft habe.
Reicht diese Information aus?

Mensch, das wäre ja toll wenn sich das Problem auch so bereinigen ließe, ohne Formatierung!

LG Alex

[code]

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Daniel,

danke, werde so vorgehen. Melde mich morgen mit der LOG-File.

LG Alex

Ich nochmal!

Das hat ja doch alles schneller geklappt als ich dachte.

Hier ist die ausgegebene LOG-File:

Bin sehr gespannt wie es weiter geht.
Nur für mich zur Info, ist die Malware jetzt schon komplett gelöscht?

Einen schönen Feierabend
Alex

Hm :/


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Daniel,
alles so ausgeführt wie Du beschrieben hast.
Hier nun die OTL.txt:
Und hier die Extras.txt:
Ich hoffe das hilft Dir weiter.
Einen schönen Abend
Alex

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :folderfind
{a6a94f0b-6845-dd3e-987e-2338c43273da}
:regfind
{a6a94f0b-6845-dd3e-987e-2338c43273da}

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Hallo Daniel,

hier das Ergebnis von dem Suchlauf mit SystemLook:

Die Datei in C:WINDOWS\Installer, ist das der Trojaner?

LG Alex

Ja



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.




ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Abend Daniel,

habe Combofix erneut laufen lassen. Hier ist die entsprechende LOG-File:
Ich werde jetzt im Anschluss den Schritt mit dem ESET Online Scanner durchführen.
Hoffe nur, ich bereite nicht allzu große Umstände mit meinem Problem!!

Einen schönen Abend
Alex

Hallo Daniel,

hier nun die Textdatei von dem Scan mit dem ESET Online Scanner:
LG Alex

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Daniel,

hier die LOG_File von dem TDSSKiller:
LG Alex