Trojaner/Virus wird nicht erkannt
 

Hallo, ich habe ein schwerwiegendes Problem mit einem Virus oder Trojaner. Ich bin nicht gerade ein Experte in diesen Dingen, wusste mir aber oft selbst zu helfen. Viele vorherige Probleme konnte ich u.a. auch mit diesem Board lösen, daher würde ich gerne dieses Mal persönlich diese Hilfe in Anspruch nehmen. Ich hoffe, ich bin auch in der richtigen Ecke mit diesem Post.

Aber zur Sache: Mein PC hat sich was eingefangen, was den PC sehr lahm macht, ich habe bei Durchläufen von Antivir auch einige Sachen finden können, die ich mittlerweile beseitigt habe.

Ein Problem konnte ich in einem Programm ausmachen, was sich in dem Verzeichnis C:\jdsfjsdijf.exe\ befand mit selbiger Bezeichnung. Der Malwarebytes-Schutz zeigt mir des Öfteren einen Tooltip an, bei dem folgende Adresse erwähnt wird: 188.95.159.23.

Eine Google-Suche brachte mich zu folgender Seite:w*w.threatexpert.com/report.aspx?md5=39d9faa6b50d9f3da6fe2389a8674bcd Dort hat der Ordner eine andere Bezeichnung, allerdings erinnerte der Ordner auf meinem PC an den des dort beschriebenen Trojaners.

Ich hab sämtliche Sachen durchgeführt, doch finde keine Lösung, den Schädling im Ordner konnte ich löschen und nachdem sich der Ordner nicht löschen ließ, habe ich ihn mit Problemen (der Abgesicherter Modus ließ sich nicht per F8 starten) im abges. Modus gelöscht. Darauf wollte ich noch einmal einen Virendurchlauf starten, doch bei Start des Programmes fing der PC wie eine Sirene an zu tönen. Der PC lief weiter, ich vermute, dass sich der immer noch auf meinem PC befindliche Schädling dazu hingerissen hat. Im normalen Modus ist bis jetzt alles normal.

Ich kann nun folgende Logs anbieten:

Beim HijackThis Log interessieren mich zudem einige Einträge (Sony / Apple / Bonjour / FreeDownloadManager) ob ich die Einträge entfernen kann, ohne die Programmfunktionalität zu verhindern. Das sind zum Teil alles Programme, die zwar benutzt werden, aber wenn nur sehr selten.

Ich betreibe keine Online-Banking und Co., möchte zudem den PC ungern neu aufsetzen, da ich im Moment aus diversen Gründen die Neuaufsetzung (inkl. Neubeschaffung der existierenden Software) zeitlich nicht hinkriege. Wichtig wäre es mir nur, dass er "einfach wieder für einige Zeit noch stabil läuft". Später könnte ich ihn dann auch wieder neu aufsetzen. Ich besitze bereits Windows 7, möchte aber aufgrund von Programm-Problemen vorerst nicht umsteigen.

Die letzten beiden Logs sind von Malwarebytes wo entsprechende Dinge gefunden wurden.

Mittels des Autostartmanager finde ich einen laufenden Prozess, der allerdings nicht betitelt ist und wie schon bei einem vorherigen Virus nur mit "..." "..." angegeben ist. Zudem stürzt der Autostartmanager dabei immer ab, seitdem ich versucht habe den Prozess inaktiv zu machen. Stattdessen öffnet sich dann meistens der nächste Prozess, aber seitdem stürzt der Manager wie gesagt ab.

Ich hoffe man kann mir hier weiterhelfen. Eine Neuinstallation ist sicherlich die sinnvollste Lösung. In Anbetracht meiner Umstände ist es aber nicht möglich, daher bitte ich Kommentare dahingehend auszulassen.

Danke im Voraus für jegliche Hilfe.

Die Logs von MBAM bitte vollständig posten!!

Vollständig posten? Ich habe die gespeicherten Logs mit den Fünden genommen und kann nun noch den Log eines Vollständigen Suchlaufes geben, dort wurde allerdings nichts mehr gefunden.

Hier wird wie man sieht nichts mehr gefunden.

Umgehend deinstallieren, ZA ist sinnlos bis kontraproduktiv. Sag Bescheid wenn ZA gelöscht wurde. Verwende die Windows-Firewall und nach Möglichkeit einen (DSL-)Router.

Ich habe Zone Alarm, weil es eine Übersicht über ausgehende Programme enthält. Nutze einen Netgear-Router. Dort sollte die Firewall dann auch konfiguriert sein, richtig? Ob sie das ist, muss ich noch überprüfen. Ist eine Deinstallation von ZA in deinen Augen zwingend notwendig bzw. was würdest du dann als Alternativprogramm benennen um ausgehende Verbindungen zu verwalten, weil dies bei der Windows-XP-Firewall soweit ich das gelesen habe, nicht möglich ist.

Brauchst du nicht. Ausgehende Verbindungen zu verwalten/kontrollieren ist mehr oder weniger eine Legende. Was raus will, kann ungehindert am Paketfilter vorbei. Als Beispiel:
So einfach ist es, den Paketfilter (aka "Firewall") zu umgehen:

Der Standardbrowser ruft dadurch in einem unsichtbaren Fenster eine URL ("pöhseseite") mit sensiblen Daten auf. Hat MS dokumentiert => Use ShellExecute to launch the default Web browser

Wenn ich mir zB diesen Artikel durchlese, frage ich mich echt ernsthaft, ob man mit einer installierten PFW noch was anderes machen kann, als die PFW mit ihren unverständlichen bis sinnlosen Dialoge durchzulesen und wegzuklicken.

Aber es zwingt dich ja niemand auf die Spielzeug-Firewall zu verzichten :pfeiff:

Ich hab schon viel schlechtes über Zone Alarm gelesen, kenne auch wohl die meiste Kritik bzw. habe sie schon bereits gehört. Mir geht es dabei u.a. auch darum Programmen, die ich kenne und die nichts Virus/Trojaner-ähnliches sind, eine Verbindung zu untersagen, weil sie automatisch Dinge tun, die ich nicht möchte. Aus diesem Grund bräuchte ich zumindest Alternativen, die sowas auch können.

Ich habe mir einen fortgeschrittenen Task-Manager besorgt, der zeigt mir weitere Prozesse an. Da war u.a. ein Ordner, der mir schon komisch vor kam.

Einmal: C:\Programme\Free Download Manager\iefdm2.dll
Dann ein versteckter Prozess:
C:\cleanprogx.exe\cleanprogx.exe, der sich als Macromedia Flash Player ausgibt.

Eine Google-Suche hat mich lediglich zu einem HijackThis-Log gebracht eines anderen Problemfalles, sonst hab ich nichts gefunden.

Mein Browser stürzte neuerdings auch bei manchen Videos ab, ob dazu der Flash Player benötigt wurde, weiß ich nicht, der Verdacht liegt nahe.

Da mir bei den erwähnten Dingen nichts angezeigt wird, habe ich sie unberührt gelassen. Sollte ich trotzdem damit etwas tun? Ich würde auch probieren den FDM zu deinstallieren, habe aber Angst, dass wenn sich da was eingenistet hat, das bei der Deinstallation weiterwandert.

Wenn du diesen Programmen nicht vertraust, warum sind sie noch installiert?
Dass die PFW diese Programme mit Sicherheit aufhält ist auch nicht gegeben.
Ironischerweise war es vor einiger Zeit ZoneAlarm selbst, das nach Hause telefoniert hat. :rofl:

Lies nochmal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein Verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Ich habe nie gesagt, dass ich den Programmen nicht vertraue. Den Funktionen betreffender Programme vertraue ich u.a. geht es auch um Spiele, bei denen ich nicht durch etwaige Internetprobleme gestört werden will oder mich bei Sachen wie bspw. dem Windows Live-Zeugs automatisch einlogge, wenn ich gerade keine Lust habe, dass Leute sehen, dass ich gerade dies und das mache.

Link 3 + 4 wollen nicht funktionieren.

Jetzt besteht hier eine Diskussion um ein Programm, dessen Funktionsweise ich in Teilen haben möchte und wenn es so "böse" ist, hätte ich gerne ein Alternativprogramm gewusst.

Leider wurde bisher nicht auf das eigentliche bzw. in meinen Augen kritischere Problem eingegangen. Wenn dir oder jemand anderem dazu etwas einfallen würde wäre ich sehr dankbar.

Musst du auch nicht.
Aber dein Vorhaben, ausgehende Verbindungen dieser Programme zu kontrollieren/blockieren, ist doch ein deutlicher Hinweis darauf, dass du diesen Programmen eben nicht (voll) vertraust!
Wenn sie volles Vertrauen genössen, würden ihre Aktivitäten nicht eingeschränkt/blockiert werden oder? :rolleyes:

ntsvcfg funktioniert, aber faq.underflow scheint z.Zt. down zu sein....

Du solltest ZA deinstallieren und dann Bescheid geben, dann gehts weiter, denn ZA kann sehr störend tw. sein. Wie weit ist jetzt der Stand?

Deinstalliert - Windows Firewall aktiviert.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Jetzt ist wohl was falsch gelaufen, bevor ich jetzt was falsch mache, wollte ich lieber nachfragen.

Ich habe alles wie beschrieben gemacht. Den CCleaner hatte ich sogar schon und auch erst kürzlich verwendet. Naja, jedenfalls ist ComboFix nach der Scan-Stufe 4 hängengeblieben. Es hat sich einfach absolut nichts getan. Dort stand was von 10 Minuten, bei einem schwer infizierten PC von der doppelten Zeit. 25-30 Minuten habe ich gewartet und dann den Task-Manager aufgemacht und versucht den Prozess zu beenden, den ich ausgemacht hatte als ComboFix. Es waren mehrere zu finden, die aber allesamt nichts gemacht haben. Daher hab ich einen der Prozesse beendet und darauf lief es plötzlich weiter bis zur Stufe 50 etwa, worauf mind. zwei Sachen gelöscht wurden, die ich in msconfig gesehen hatte und mir ebenfalls seltsam vorkamen.

Neustart wurde durchgeführt, allerdings trat dabei schon ein Fehler auf, der die gleiche Bezeichnung hatte wie der Prozess, den ich beendet hatte. Nach dem Neustart wurde Antivir, MBytes und Co wieder geladen, ich sollte keine Sachen starten und warten. Habe ich gemacht, bis sich wieder überhaupt nichts getan hat nach etwa 20 Minuten. Dann habe ich erst überlegt, ob Antivir oder ähnliches es blockieren könnte, habe die Sachen beendet und als sich dann immer noch nichts getan hat erst einen, dann einen weiteren Prozess. Dann ists ausgegangen, ohne den Log. Unter C befindet sich lediglich der Ordner cofi.exe.

Da ich wegen des ständigen Aufbaus zu der im Startpost genannten IP-Adresse ungern ohne Mbytes-Schutz im Internet bin, hatte ich auch, wenn nicht nötig die Verbindung zum Internet gezogen.

Der verdächtige Prozess läuft jedenfalls weiterhin. Log ist wegen der Beendigung auch nicht da.

1. Nochmal durchführen und einfach warten?
2. Internetverbindung anlassen? (es stand nirgends was von einer benötigten Verbindung, daher hab ich darauf geschlossen, dass keine benötigt wird (sofern er nicht explizit gefragt hatte))

Ja bitte nochmal ausführen. Cofi braucht beim ersten Lauf immer eine Internetverbindungen für evtl Updates und die Dateien der WHK, also Internet nicht trennen.

Zu Anfang hatte ich die Verbindung gezogen, dann fragte er wegen der Wiederherstellungskonsole, da hatte ich die Verbindung dann hergestellt und nach Installation wieder gezogen.

Jedenfalls habe ich diesmal alles gelassen - gleiches Problem. Nach Stufe 4 tut er nichts mehr, es sei denn ich beende einen der Prozesse.
edit: Diesmal hab ich auch locker mindestens eine Stunde gewartet.

Glücklicherweise hat er nach dem Neustart dann doch das Textfile erstellt. Beim ersten Mal stand dort allerdings nichts von einem Problem, dass nicht genügend Hauptspeicher vorhanden sei, soweit ich mich jedenfalls erinnere.

Nun gut:

Ich habe kurz drübergeschaut und lese etwas von AntiVir. Liegt es mglw. daran? Ich habe den Guard deaktiviert gehabt.

Hm, ganz vollstöndig ist das Log nicht.
Probier den Durchgang mit CF bitte nochmal.

Gibt es denn einen besseren Weg, den ich nehmen könnte, wenn er wieder hängenbleibt? Aktualisiert hat sich Combofix ja, sollte ich evtl. probieren combofix im abgesicherten Modus durchlaufen zu lassen?

CF aktualisiert sich automatisch, es gibt dann einen Hinweis. Internetverbindung muss dann natürlich da sein.
Oder du lädst vor jedem neuen Durchgang immer ne neue cofi.exe runter.

Nicht wirklich. Probiers einfach nochmal im normalen Modus.

Aller guten Dinge sind Drei... es hat geklappt. Komplett. Beim letzten Mal kann es auch sein, dass ich dachte, dass der Bericht dort zu Ende war, allerdings gab es wohl nur eine Menge leerer Zeilen, bevor der Bericht weiterging. Ich war in dem Moment nicht so schlau alles zu markieren. Die leeren Zeilen hab ich hier rausgenommen, dabei ist der Browser auch abgestürzt.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Diesmal hängt er nach Stufe 7. Auch das beenden der Prozesse hat nichts mehr bewirkt, bis er komplett geschlossen wurde. Das File ist jetzt "weg". Muss ich etwas tun, bevor ich es nochmal ausprobiere? Das File einfach nochmal neu erstellen, oder ist es bereits irgendwo in CF implementiert worden?

Lassen wir CF jetzt weg...

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alles durchgelaufen, es scheint u.a. an dem clenprogx-Kram zu liegen.

GMER:
OSAM:
MRBCheck:

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Beim ersten Neustart hat der PC sich im Windows-Lade-Schirm aufgehangen, nach einem Reset hat es jedoch funktioniert.

Log: Backup:
Ein offensichtlicher Fehler mit dem Gmail-Dienst ist dadurch behoben worden. Ob die Videos evtl. auch wieder gehen, werde ich später testen.

Vielen Dank schon mal bis hier.

cleanprogx.exe ist ein "schöner" zbot :balla: => VirusTotal - Free Online Virus, Malware and URL Scanner
Ich werd mal ne Mail an die AVP-Hersteller schicken, damit die schneller Signaturen für bessere Erkennung dieses Drecks bereitstellen :kloppen:

mach du bitte nochmal einen neuen Lauf mit combofix mit einer neu heruntergeladenen cofi.exe

Ich hab gerade ohne Absturz den Autostartmanager starten können. Cleanprogx.exe ist nun gelistet im Autostart. Werde nochmal cofi.exe wie gewünscht durchführen.

Ich merke gerade auch, dass ein weiterer offensichtlicher Fehler ausgemerzt wurde. "^" wurde nämlich immer doppelt ausgeworfen, genau wie ´`. Da fand man auch einiges zu Viren oder Trojanern, nur bei mir schien nie exakt das gleiche Problem zu bestehen.

Combofix:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ComboFix:Die IP aus dem Startpost wird offenbar nicht mehr gesucht, dafür meldet Mbytes jetzt die IP: 213.131.252.251 zu der der Zugang geblockt wurde.

edit: Dies tritt auf, wenn ich nach einiger Zeit eine (evtl. diese) Seite neu lade bzw. refreshe.

Hast du eine malwarebytes Lizenz gekauft? :wtf:


Bitte Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER:
OSAM:
MBRCheck:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mach ich. Osam listet manche Dinge gelb-rot auf. Rot war u.a.

C:\WINDOWS\system32\drivers\ac3wipla.sys
hidden registry entry, rootkit activity / File not found

Soll ich dahingehend noch etwas unternehmen?

Nein das ist ok. Kommt vom SPTD-Treiber (zB von Daemon-Tools)

Hier erstmal der Log von SAS:kicker.de dürfte harmlos sein, das andere sagt mir nichts, aber habs besser mal entfernt (bzw. Quarantäne). Die Trojan.Agent-Sache klingt mir auch nach nem Fehlalarm. Das Programm nutze ich derzeit nicht, es sieht aber so aus, als ob die Datei zum Programm gehört...

Malwarebytes mache ich dann morgen früh, das dürfte sicherlich wieder einige Zeit dauern.

Bisher nur Cookies und ein Fehlalarm ;)

So:
Entfernen? Hab erstmal gespeichert und Mbytes ist noch offen. System läuft schon wieder ziemlich stabil. Vorhin gab es nach dem Neustart einen plötzlichen Reboot.

Außerdem wurde "ctfmon.exe" als neu im Autostart angezeigt (über Autostartmanager). Soll eigentlich harmlos sein bzw. für Office, aber dass es plötzlich neu auftaucht hat mich verwundert.

MBAM hat nur einen Überrest in der Systemwiederherstellung gefunden.
Noch Probleme oder ist nun alles paletti? ;)

Jep, scheint wieder alles in Ordnung, vielen vielen Dank! Soll ich bspw. noch ComboFix wieder deinstallieren? Das hab ich beim überfliegen anderer Probleme ab und an gelesen.

Wenn du willst ja.
Hilfreich dabei kann dir dieses Tool (OTM) sein => OTM OldTimer's Move-It - Geeks to Go Forums
Einfach ausführen und auf den Button Cleanup drücken.

(als Alternative müsste auch OTC gehen => http://www.geekstogo.com/forum/files...mers-clean-it/ )