Rechner von Freundin in Ukraine verseucht> rootkit, viren, und was noch?
 

Gruss an alle Experten aus der Ukraine! Bin hier gerade bei meiner Freundin zu Besuch und muss ihren Computer nutzen. Der lief bisher mit XP ohne jeglichen Schutz. Es war sehr schwierig ein Anti-Vieren Programm zum laufen zu bringen, jetzt ist NOD32 installiert. Es wurden eine reihe von Viren erkannt, leider wohl nicht alle da ich z.B. viele Programme immer noch nicht starten kann *es geht aber teilweise ueber den Umweg vom USB stick.
Nun habe ich die hier beschriebenen Massnahmen durchgefuehrt>

1. Nach der installation von defogger und neustart tauchten ploetzlich viele verschwundene Dateien wieder auf, der ganze Desktop war veraendert.

2. Beim Durchlauf von OLT wurden zwar zwei TEXT dokumente erstellt, jedoch leer! (Es handelt sich genau genommen um AKEL PAD format)

3. GMER hat den Fund von Rootkit gemeldet, hier klappte das Logfile auch nicht. Jedoch habe ich die Daten haendisch in eine Text Datei kopiert und umbenannt.

4. Die installation von 7zip funktioniert nur ueber usb, 7 wird mit rechtsklick angezeigt jedoch oeffnet sich kein weiteres menue. Daher kommt das .log ungezippt.

Ich hoffe hier unterstuetzung zu finden den Rechner hier einigermassen sicher zu machen da ich die naechsten Wochen hier bin und auch online banking betreiben muss!

Vielen Dank im Vorraus

Mark

Hallo und :hallo:

Die Logs bitte alle nachreichen, warum ist hier erklärt => http://www.trojaner-board.de/125889-...tml#post941520

Welche Größe haben die OTL-Log?
AKEL PAD kenn ich nicht. Öffne die Logdateien mit notepad oder notepad++ (kostenlos), die Logs sind ganz normale Textdateien.

Und bitte alle Logs in CODE-Tags posten

Hallo cosinus, vielen Dank fuer die Antwort.
Habe das wie geschrieben gemacht, sieht aber sehr unleserlich aus... was kann ich tun?

Die OLT logs sind von alleine leer aufgegangen, und nach dem schliessen im nirvana verschwunden... Werde aber jetzt nochmal scannen und schauen was passiert.


Habe nochmal mit OLT einen quick scan durchgefuehrt und es wurden wieder nur zwei leere Text Fenster erstellt, von denen eines automatisch geschlossen wurde. Die speichergroesse des verbliebenen konnte ich nicht feststellen (wie?).

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Log mit OTL erstellen:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Anschließend MBAR:

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

o.k. habe OTL gestartet, allerdings vom USB stick weil es sich vom Desktop nicht starten lies. Leider habe dann OTL.exe so gestartet wie im gleichnamigen link beschrieben, erst danach daemmerte es mir das ich OTL nur so konfigurieren soll wie in meinem thread von Dir beschrieben... Prompt habe ich auch nur *immerhin) 1 OTL.txt Datei ausgegeben bekommen. Nun scanne ich nochmals wie verlangt und poste dann wieder.

o.k. hier der 2. Scan und diesmal hat es mit der Datei Ausgabe geklappt.
Inhalt der Extra Datei weiter unten.


Habe mbar nun vom desktop ausgefuehrt, was aber zuerst nicht ging> es kam die meldung es fehlt ein DDA treiber?, koennte route kit sein und es soll neu gestartet werden. Ich hatte es gerade gelesen da hat der rechner auch schon von selbst neu gestartet.
Beim zweiten Anlauf lief mbar sofort an. Log wie untenstehend. Irgendwie trau ich dem Braten nicht...

Habe mbar nun vom desktop ausgefuehrt, was aber zuerst nicht ging> es kam die meldung es fehlt ein DDA treiber?, koennte route kit sein und es soll neu gestartet werden. Ich hatte es gerade gelesen da hat der rechner auch schon von selbst neu gestartet.
Beim zweiten Anlauf lief mbar sofort an. Log wie untenstehend. Irgendwie trau ich dem Braten nicht...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

CF laesst sich vom Desktop nicht starten> Fehlermeldung> NSIS Error "Error launching installer".

Programme lassen sich aber vom USB stick starten, kann ich so verfahren?

Ja probier aus

habs versucht, leider haengt sich CF bei der Datei Lang.bat auf und bricht ab. Was nun?

das C> laufwerk ist voll (6,8 GB) obwohl nur xp und notwendigste programme installiert sind. ist das normal? weiss nicht wie ich da noch platz schaffen soll. Jedenfalls hat nach freigabe von speicher auf c> das ausfuehren von CF geklappt.

Bitte nun (neue) Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Gmer lief problemlos, hat aber root kit fund gemeldet.

aswMBR log file weiter unten. (habe an einer stelle gedacht der scan waere fertig und habe auf save log file geklickt, glaube aber das hat keine Auswirkungen gehabt)

aswMBR.txt logfile

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

hat geklappt, hier das log>

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.