Infizierter Rechner - Hilfe erbeten!
 

Hallo, auf der Suche nach Informationen zur virtuellen Schädlingsbekämpfung entdeckte ich erneut dieses Forum.

Eine Bekannte bat mich vor kurzem um Hilfe mit ihrem Rechner. Auch wenn ich über gewisse Kenntnisse verfüge, so erscheint es mir doch angebracht weitere kompetente Hilfestellungen einzuholen um evtl. Problemen bei der Beseitigung dieser Schädlinge vorzubeugen.

Folgene Problematik: Eine, bzw. mehrere Schadprogramme blocken den Seitenaufbau der Browser und verhindern zudem eine Vielzahl von Programmen, wie Paint, Word, aber eben auch AntiVir. Zudem erscheint auf dem Desktop ein Popup, welches vor einer Verseuchung warnt und ein Schutzprogramm empfiehlt. Mit einem Klick auf dieses Popup erfolgt eine Weiterleitung zu einer Internetseite, wo das "nützliche Programm" heruntergeladen werden kann. Dies ist die einzige Seite, welche zu öffnen ist.
Zudem erreichen den Rechner vermehrt diverse nicht jugendfreie Werbeangebote, sowie Bilder.

Nachdem ich das System mit Highjackthis gescannt hatte, fielen mir einige Ungereimtheiten auf. Hier einmal die Log-File:

Hab danach einige unklare Services gecheckt und hier mal markiert.
Stutzig macht mich vorallem der Advanced Virus Remover... Der war mir nich ganz koscher, sodass ich mal gegoogelt hatte und nen scheinbaren Volltreffer gelandet habe. Scheint das ominöse Schutzprogramm zu sein, welches aber scheinbar Virenmeldungen produziert um den Download von der Internetseite zu erwirken.
Der Winupdate Eintrag is mir nicht ganz klar, deswegen frage ich lieber hier nochmal nach und bitte um Überprüfung der Logfile.

Format C:\ sollte hier nur die letzte Variante sein, aber falls das System soweit kompromittiert ist, das eine Wiederaufsetzung die einzigste Lösung ist, dann ist dies wohl auch unumgehbar. Wie also entferne ich den/diese Miesepeter? Mit fixen allein isses ja sicher nich getan.

Any experts out there? Thx for reading!

Hallo und Herzlich Willkommen! :)

Versuchen können wir ja dein System zu `retten`, jedoch die absolut sicherste Methode wäre dein System komplett neu zu installieren. Das ist IMMER die einzige Möglichkeit zum Säubern eines befallenen Systems -->Backdoor/Wikipedia
Es liegt in Deiner Hand, ob Du versuchen möchtest oder...?

Ich persönlich bevorzuge immer eine absolute Plättung bei jeglicher Infizierung (abgesehen von heuristischen "Pseudo-Treffern") :kloppen:. Ist ja heute nicht mehr mit großem Aufwand verbunden, wenn man regelmäßige Datenbackups auslagert.

Da es aber der Rechner einer Bekannten ist, würde ich gerne das System zum Reinigen eines solchen Systems in Erfahrung bringen. Man lernt ja nie aus! Sollte das nicht von Erfolg gekrönt sein, ist eine Formatierung ja immernoch drin. Bis zur Klärung liegt der Rechner vorerst sowieso auf Eis.

Was wird denn neben Hijackthis noch benötigt um Infizierungen zu Leibe zu rücken?

hi

na dann legen wir erst richtig los:

1.
Falls existiert, deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
3.
Lade eines dieser Programme runter: WinsockFix
Lass das ausgewählte Programm auf deinem Rechner laufen, wenn es Probleme mit der Internet-Verbindung gibt.
Danach einfach den Rechner neu starten. Solltest du dich für LSP entscheiden, bitte das Programm laufen lassen, dann ein Häkchen in "I know what I'm doing" setzen, sonst nichts machen, aber auf den Finished Button klicken.

4.
Achtung!:
- Wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne gmer.exe um in *.com und versuche es erneut. Also wähle eine beliebige Dateiname, die Endung soll *.com sein!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
gleiche gilt hier auch:
- Wenn RootRepeal nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne die Installationsdatei um in *.com und versuche es erneut. Also wähle eine beliebige Dateiname, die Endung soll *.com sein!
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

6.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

7.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

8.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

gruß
Coverflow

Danke für die schnelle Hilfestellung!

1. Sucessfully completed
2. Einträge waren nach der Deinstallation bereits verschwunden
3. Sucessfully completed
4. Nach langer Zeit auch fertig, hier die Log:

Die restlichen Punkte arbeite ich dann noch nach ner kurzen Human-Recovery-Phase ab und poste die Ergebnisse morgen (auf die Uhr guck... ähm, heute) :)

Hello again, nun sind die letzten Schritte auch mehr oder weniger abgearbeitet. Erläuterung folgt.

5. RootRepeal auch erfolgreich durchgeführt mit drivers und stealth objects. Zu hidden services gabs keine log, da PC anzeigt, da keine vorhanden sind.

Drivers:

und Stealth objects

6. Alle Schritte befolgt, Häkchen entfernt, bzw. gesetzt, wo erforderlich.

7. Datei auf den Desktop gelegt und ausgeführt, war abe leider nicht von Erfolg gekrönt. Es öffnet sich ganz kurz ein kleines schwarzes Fenster mit "Zugriff verweigert"-Nachricht und schließt sofort wieder. Zudem kommen wieder die Trojanermeldungen, Popups.
Gut, schlecht, andere Möglichkeit?

8. Ccleaner ausgeführt und Programme in logfile gesichert. Hier:

So, ne Menge Daten, hoffe man kann damit auch etwas anfangen :)

Mit bestem Dank verbleibend,
Plopp

hi

so geht`s weiter:

- Stelle bitte folgende Programme ab:
SpyHunter
Spyware Doctor 6.0

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
- auf deinem Desktop speichern
- per Doppelklick SDFix.exe starten
- wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
- starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
- öffne den neu entstandenen SDFix Ordner
- mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
- gib ein Y ein, um den Reinigungsprozess zu beginnen
- nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
- nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
- nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!


2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile

- Ausserdem Punkt 7. fehlt noch: filelist.bat erstellen--> http://www.trojaner-board.de/75767-i...tml#post451421

Danke, die Punkte werden demnächst abgearbeitet.

Punkt 7 konnte nicht ausgeführt werden, da ein Problem auftrat. Ich gehe mal davon aus, dass ich das auch nach SD Fix und Malwarebytes nochmal probieren kann, korrekt? Vielleicht gehts dann.

Beste Grüße,
Plopp

ja, danach bitte erneut versuchen

Hmm... bei SDFix gibts das Problem, das man den Rechner im abgesicherten Modus starten soll, der Rechner aber sich im abgesicherten Modus immer ausschaltet, nicht komplett hochfährt.
Prinzipiell wäre ja über die boot.ini im Normal-Windows was zu machen, aber wenn der Rechner dann in einer Endlosschleife hängt is ja auch blöd, richtig?

Gibts einen Lösungsansatz?

Malwarebytes sagt:

was ja einigermaßen gut aussieht.


SDFix bekomm ich nicht zum laufen, da Rechner nicht im abgesicherten Modus laufen möchte und immer wieder herunterfährt.

filelist.bat auch nicht. Es scheint als mag der PC keine .bats


Erneute Highjackthisfile:

Eine merkliche Verbesserung ist derzeit noch nicht festzustellen.

hi

1.
ohne sinnlos & lang an Einträgen, Regedit usw herumzubasteln, nutze eine Live-CD um dein System zu prüfen und bearbeiten:
Live-System wie z.B:

• Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
• Knoppix--> Datei:Knoppix-logo.svg
• Ubuntu--> Download/ubuntu.com
• kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
• Ubuntu-CD Problembehebung
• Avira AntiVir Rescue System
• Viren jagen mit Knoppix
• WinPE/BartPE

- **Solltest Du in der Vergangenheit USB-Sticks oder andere Wechseldatenträger an das infizierte System angestöpselt haben, mußt Du diese auch unter der Live-CD booten

2.
- dann die Schritte (6.,-7.,-8.) von hier - http://www.trojaner-board.de/75767-i...tml#post451421 - erneut abarbeiten
- ausserdem ein neues HijackThis-Logfile auch posten