Win XP SP3- USB-Stick erstellt verknüpfungen zu jedem File/Ordner und versteckt die echten Files
 

Liebe Experten. Ich habe einige User gefunden, die eine sehr ähnliche Infektion haben und schicke die ersten Untersuchungen (logfiles) anbei mit. Neu ist seit der Infektion auch eine Datei im AutoStart (diesen Dienst habe ich deaktiviert): x.vbs

Herzlichen Dank im Voraus wenn ihr Zeit hab, mein Problem zu lösen!!

AdwCleaner.txt:
Junkware Removal Tool:

Scan mit FRST:

:hallo:

Thema ist in Bearbeitung. Du bekommst so schnell als möglich weitere Anweisungen!
Bitte keine weiteren Änderungen am System vornehmen!

Danke für die Nachricht! Ein wenig verbesserungsbedürftig ist die Formulierung meines Themas. Meine Problemstellung ist die, dass die SchadSW zu jedem angeschlossenen USB Stick eine (einzige) Verknüpfung anzeigt, statt die Ordner und Dateien des Sticks anzuzeigen.

Hier noch ein logfile Addition.txt:

:hallo:

Mein Name ist Ruth und ich werde dir bei der Bereinigung deines Systems helfen.

• Bitte beachte, dass jede meiner Antworten erst durch einen Ausbilder freigegeben werden muss. Ich bitte um Verständnis für mögliche Verzögerungen. Ich bemühe mich jedoch, spätestens nach 24 Stunden zu antworten.
• Bitte befolge meine Anweisungen, bis ich dich als *clean* entlasse.
• Ändere bitte alle deine Passwörter von einem anderen, sauberen System aus!
• Nicht unaufgefordert Programme installieren und deinstallieren.
• Keine Online-Geschäfte machen und überhaupt deine Online-Aktivitäten möglichst begrenzen.

Warte dann auf weitere Anweisungen.

Hallo Jazzerin,
Dein System ist ziemlich verseucht. Wir müssen noch gegen Rootkits vorgehen:

Schritt 1: Rootkits entfernen
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hi,

ich hab schon länger keine Antwort mehr von Dir erhalten. Brauchst Du noch Hilfe?

Hinweis: Sollte ich die nächsten 24h keine Nachricht von Dir bekommen, lösche ich das Thema aus meinen Abos und werde daher über Änderungen oder Beiträge nicht weiter informiert. Wenn Du weitermachen möchtest, schreib mir dann einfach eine PM.

::dankeschoen:

Ich kann leider erst Ende August mich wieder um den PC kuemmern, da ich verreisen musste. Ich hoffe es geht in Ordnung, dass ich mich dann wieder melde und die Massnahmen durchfuhre

OK, ich lasse dich in meinen Abos drin, du kannst dann wieder schreiben.

Rootkit scan
 

Hallo & vielen Dank für das belassen des Support-Threads!
Hier ist der log ( die Option "delete" war aktiviert, als ich "Continue" gedrückt habe, trotz guten Rats). Damit keine Änderungen am System passieren, reboote ich erst, nachdem ich von Euch gehört habe.

Hi Jazzerin!

Kannst rebooten.

Führe aber danach bitte noch mal TDSS-Killer aus und achte darauf, dass du alle Einstellungen wie in der verlinkten Anleitung (bitte klicken und lesen!) vornimmst.
Achte besonders auf Schritt 3!

Hallo
Die jetzt (nach reboot/delete) gefundenen, unbekannten files kenne ich, das gehört zu der Fireface SW - ein Audio Interface und die sollte ich eher drauflassen auf dem Rechner. Die Hackerl habe ich richtig gesetzt wie in der Anleitung.
Da er sonst keine Threats gefunden hat, kopiere ich aus dem letzten Bericht nur das Report-Ende, wenn das zuwenig info ist, dann bitte mich korrigieren, danke

Schritt 1: Combofix

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix-Logfile:
(Anmerkung: bei WinXP kann ich Systemwiederherstellungspunkte über msconfig abrufen, das ist doch soetwas ähnliches wie die Wiederherstellungsconsole?)
und hier weiters logfile ComboFix-quarantined-files.txt:

Nein, die Wiederherstellungskonsole ist für den Fall, wenn Windows XP gar nicht mehr startet. Dann hast du auch kein msconfig.



Schritt 1: frische FRST-Logs

• Starte noch einmal FRST.
• Setze einen Haken bei "Addition.txt" und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread.

Vielen Dank für das Dranbleiben an meinem Problem!
Hier ist also FRST.txt:
... und Addition.txt:

Du hast zweimal die Addition.txt gepostet. Bitte die FRST.txt nachreichen!

achweh, zu schampig CTRL-A gedrückt wahrscheinlich, Verzeihung!

Du liebe Zeit, ich merke irgendwie dass ich nicht auf Urlaub war, nur aus bestimmten Gründen verreist und mir passieren unglaublich dumme Dinge gerade mit dem IT Wahnsinn.
Und zwar öffnete ich heute Nachmittag (zum ersten Mal dass ich auf etwas hereinfalle per mail :stirn:) eine A1 Rechnung (Internet-Provider) und habe nun eine Bedrohung, per .js Datei exekutiert, die meldet "Ihre Files sind mit Crypto_locker verschlüsselt, bitte zahlen Sie ein auf ...."
Deshalb, liebe ExpertInnen, gebe ich noch eine aktuellere FRST.txt und Addition.txt dazu:

In Addition.txt ist nur folgender Eintrag anders:
Tut mir leid, dass ich Euch jetzt soviel Mühe mache

Hi,

leider können wir dir deine Dateien nicht entschlüsseln. Entweder du findest auf dieser Seite eine Möglichkeit:
https://id-ransomware.malwarehunterteam.com/
- oder du kannst die verschlüsselten Dateien nur aufbewahren und hoffen, dass später eine Möglichkeit gefunden wird.
Oder halt bezahlen, aber damit würdest du die Erpresser dazu animieren, noch mehr solche Programme zu schreiben. Und ob du deine Daten dadurch wieder kriegst, ist auch nicht sicher.

Wir können hier nur die schädlichen Programme und deren "einfachere" Auswirkungen von deinem System entfernen:

Schritt 1: unnötige/störende Programme deinstallieren
Bitte deinstalliere normal über die Systemsteuerung folgende Programme:


IOBIT Malware Fighter
Spybot Search & Destroy

Spybot hatte seine beste Zeit vor über zehn Jahren und IOBIT war eigentlich noch nie richtig gut.


Schritt 2: Fix mit FRST
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 3: Rem-VBSWorm für den infizierten USB-Stick

Bitte mal das Tool runterladen, Stick anstecken und Option A und B durchführen. Log bitte posten.

Security Tool Spotlight: Rem-VBSworm - Anleitungen


Schritt 4: wieder frische FRST-Logs

• Starte noch einmal FRST.
• Setze einen Haken bei "Addition.txt" und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread.

Einen schönen Tag an alle -hier ist Fixlist-logdatei:
Dann ein report vom USB-Stick-Wormentfernungstool Rem-VBS,log:
Und die FRST.txt:
...sowie Addition.txt

Das script mit dem Crypto_locker konnte ich womöglich rechtzeitig stoppen, denn bisher habe ich alle Stichproben auf den Festplatten lesen können. Damit sollte ich jetzt recht gut schlafen, gute Nacht. Eure Arbeit ist vorbildhaft!!!

Jetzt bitte einen Kontrollscan mit ESET:

Schritt 1
Den Stick an den PC anstecken und einen ESET-Scan durchführen.
Wichtig: Bitte unter "Computer-Prüfeinstellungen/...zu prüfende Objekte" die checkbox bei Computer setzen.
http://www.deeprybka.trojaner-board....t/usbeset1.png

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo!
Nicht wirklich verheissungsvoll, mein ESET-logfile:

2ter Teil des ESET-logfiles:

Das Log ist unvollständig.
Die html-Datei vom Cryptolocker ist in jedem Ordner, das kann lang werden.

Du kannst das Log ausnahmsweise zippen und anhängen, oder auch bei Pastebin.com - #1 paste tool since 2002! hochladen und mir den Link mitteilen.

Funktioniert denn der USB-Stick wieder normal?

Soll ich eventuell nocheinmal den ESET Suchlauf machen?
Denn das log.txt war genauso wie ich es geposted habe. Es gab vor dem Beenden von ESET Scanner am Schirm auch noch Infos über "gefundene Bedrohungen". Diese Liste habe ich als ESETlog.txt abgespeichert, siehe .zip-File

Ja, es schaut aus, als ob die USB Sticks wieder normal funktionieren

Sorry, war doch das Ganze. Ich antworte dann noch.

Hallo Jazzerin,

Das ist alles nicht mehr aktiv. Von der .html-Datei vom Crypto-Locker würde ich mir sogar auf jeden Fall zur Sicherheit mindestens ein Exemplar aufheben.


Schritt 1: Aufräumen

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Wenn du hier keine weiteren Fragen zum Verhalten deines Systems hast, haben wir alles getan, was wir konnten.
Du hattest ein ganzes Sammelsurium von Malware, die jetzt weg ist.
Allerdings hast du mit Windows XP ein grundsätzliches Problem. Das System wird nicht mehr unterstützt, gefundene Sicherheitslücken werden nicht mehr geschlossen.
Auch von vielen Programmen laufen darauf nur ältere Versionen.
Da kannst du absichern wie du willst, der einzige wirkliche Schutz ist: offline bleiben.
Sonst ist es so, wie wenn du ein Haustürschloss benutzt, zu dem es bekanntermaßen Nachschlüssel gibt. Da kannst du die Fenster vergittern wie du willst, und auch Riegel und Kette an der Tür machen sie nicht wirklich sicher.

Du hast deinen Rechner ja offenbar schon viele Jahre. Das Beste wäre, du kaufst dir einen neuen. Dann hättest du zwei Möglichkeiten:

• den alten Rechner verschrotten, den neuen für alles benutzen.
• den alten Rechner noch eine Weile offline weiternutzen, den neuen (ein Notebook/Netbook?) fürs Internet. Dateien per Stick übertragen. Unser Fix hat den Rechner so eingestellt, dass er keine Programme vom Stick mehr automatisch startet.

Wenn du dir keinen neuen Computer kaufen kannst, sieht die Sache anders aus.
Dann brauchst du ein anderes Betriebssystem, um sicher ins Netz zu können.
Ich glaube nicht, dass auf deiner Hardware Windows 7 oder 10 laufen würde, aber da müsste man noch genauer wissen, was z.B. für eine RAM-Erweiterung möglich ist und wie die anderen Komponenten aussehen.
Ansonsten könntest du ein schlankes Linux, z.B. Lubuntu oder, wenn das nicht rund läuft, AntiX benutzen.
Du hast viel Software für Bild- und Videobearbeitung - da gibt es für Linux auch einiges an Programmen (Grafik, Video), aber das sind nicht dieselben, da müsstest du dann umlernen und evtl. auch nach bestimmten Funktionen ziemlich suchen.
Überhaupt ist Linux zwar nicht unbedingt kompliziert, aber doch in vielem anders als Windows. Es gibt aber viel Hilfe dazu im Internet, auch auf Deutsch.
Firefox und Chrome dagegen sehen für Linux ziemlich exakt genauso aus wie für Windows und verhalten sich auch so.
Für eine Nutzung mit DualBoot ist deine Festplatte zu klein bzw. zu voll, für eine Virtuelle Maschine hast du zu wenig RAM.

Das würde also bedeuten:

• alle persönlichen Daten auf eine externe Festplatte sichern (DER Kauf lohnt sich in jedem Fall), Win XP plattmachen, evtl. RAM und andere Hardwarekomponenten austauschen, und ein neues System aufspielen.

Fragen dazu sind dann aber nicht mehr in diesem Thema zu stellen, sondern in den entsprechenden Unterforen: Netzwerk und Hardware, alles rund um Windows bzw. alles rund um Mac OS/X und Linux etc.

Ich poste dir mal trotzdem meine normalen Abschlusstipps, auch für später, wenn du ein anderes Windows benutzt:

Abschluss: Tipps

1. *** Antivirus ***
   
   Auf deinem System sollte immer ein Antivirenprogramm mit Hintergrundwächter laufen (mehrere würden sich gegenseitig bekämpfen!).
   
   Wenn du kein Geld dafür ausgeben willst, kannst du einfach Microsoft Security Essentials bzw. Windows Defender benutzen.
   
   Wenn du bereit bist, etwas zu bezahlen, wäre z.B. Emsisoft eine gute Wahl (25% Rabatt für TB-User)
   
   Bedenke aber, dass ein AV-Programm niemals 100% Schutz bietet!
   
   
2. *** Browser ***
   
   
   • Für sicheres und angenehmes Surfen probiere mal Werbe- und/oder Skriptblocker aus. Als Werbeblocker ist U-Block Origin (für Chrome / für Firefox) effektiv und unaufdringlich.
     
   • Surfe keine illegalen und unseriösen Seiten an, klicke nicht auf Werbelinks.
     
     
   • Sei vorsichtig mit dem, was du dir aus dem Internet herunterlädst. Ich kenne nur ein sauberes Portal: FilePony. Chip, Softonic und sogar Sourcforge packen in ihren Downloadern Adware dazu. Am besten, du lädst die Software direkt von der Herstellerseite.
     Passe aber trotzdem auf: Manchmal packt auch der Hersteller Adware oder unerwünschte kostenlose Zusatzprogramme mit dazu. Wähle immer die benutzerdefinierte Installation und wähle alles ab, was du nicht brauchst.
   
   
3. *** Mail ***
   
   Öffne E-Mail-Anhänge am besten nur nach Rücksprache mit dem Absender. Alles andere kannst du gleich löschen oder, wenn du neugierig bist, lässt du es eine Woche liegen (ohne Öffnen, wohlgemerkt) und lässt es dann (immer noch ungeöffnet) bei virustotal.com überprüfen. Dort kannst du übrigens auch Downloads prüfen.
   
   Klicke auch nicht auf einen Link in einer Mail, von der du nicht absolut sicher bist, wer der wirkliche Absender ist. Ignoriere angebliche Warnungen von Dienstleistern, bei denen du ein Online-Konto hast und angeblich deine Zugangsdaten neu eingeben musst. Diese Masche nennt sich "Phishing" und wird von Betrügern benutzt, um dein Passwort zu bekommen.
   
   
4. *** Updates ***
   
   Halte dein System immer auf dem neuesten Stand. Es werden ständig Sicherheitslücken im System und in Programmen gefunden und geschlossen. Besonders wichtig sind:
   • Windows selbst. Spiele zeitnah alle Updates und Servicepacks ein.
   • Natürlich das Antivirenprogramm.
   • Dein Browser.
   • Der Internet Explorer, auch wenn du nicht damit surfst. Er wird vom System benutzt.
   Und noch drei Programme, bei denen du auch sehr auf die Aktualität aufpassen musst oder aber auch gucken kannst, ob du ohne auskommst:
   • Java wird heute nur noch selten benötigt. Auch das Java-Plugin im Browser sollte immer deaktiviert sein. Du wirst sehen, JavaScript funktioniert trotzdem!
   • Adobe Reader sollte möglichst durch andere PDF-Betrachter wie PDF-XChange Viewer - Download - Filepony ersetzt werden.
   • Adobe Flash Player Plugin. Wenn du Google Chrome als Browser nutzt, hast du das Problem nicht. YouTube-Videos lassen sich auch sonst mit HTML5 abspielen.

Wenn du keine konkreten Fragen dazu mehr hast, wünsche ich dir noch ein angenehmes und malwarefreies Surfen!
Du kannst uns noch etwas spenden oder hier Lob oder Kritik äußern. Andere Fragen sind in den entsprechenden Forenbereichen immer willkommen.

Zum Bereinigen hätte ich noch eine Frage - werden die zuletzt gefundenen Kandidaten im ESET-log denn mit dem Delfix Tool gelöscht? Da ich mich ja von Combofix davor trennen soll, interessiert mich das noch.
Die Tipps sind sehr wertvoll und ich werde in mich gehen und schauen, wie ich das System sicherer betreiben kann. Linux gefiele mir eh am besten und habe ich schon Grundkenntnisse, auch im bash. Jedoch laufen dann einige, teuer gekaufte Win-Lizenzen nicht mehr und mein Budget ist ohnedies auf null seit ich arbeitslos bin. Für Euch eine Spende muss aber drinnensein!
Lg Julie

Was übrig bleibt, sind die "Rechnung" und ein paar Programme in Download-Ordnern und auf dem Stick.

Das kannst du im Grunde von Hand ausmisten.
Wenn du diese .html-Datei vom Cryptolocker auch aus den Ordnern entfernen willst, kannst du auch noch mal ESET laufen lassen und diesmal das Löschen erlauben.
Aber zum Daten sichern vor einer Linux-Installation reicht es allemal auch so, wie es ist. Da ist wie gesagt nichts Böses mehr aktiv am Laufen.

Falls du unter Linux kostenlose Alternativen findest, die das Gleiche machen, würde ich da keinen Hinderungsgrund sehen. Dass du bezahlt hast, verpflichtet DICH doch zu nichts.

Dann werde ich dieses Thema jetzt aus meinen aktiven Themen löschen, da wir mit der Bereinigung hier fertig sind :abklatsch:. Bei Fragen bitte einen neuen Thread aufmachen.