Plötzlich Taskmanager, Regedit, SecurityCentre deaktiviert - Trojaner ?
 

Hallo,

ich habe folgendes Problem. Als ich heute in den Taskmanager wollte drückte ich Strg Alt Entf, aber da war kein Taskmanager Button mehr. Also gab ich in die cmd Zeile taskmgr.exe ein. Dann kam die Meldung, dass ich darauf nicht zugreifen könne.
Also fix gegoogelt und herausgefunden, dass ich was in der registry ändern muss.
"regedit" eingeben und auch darauf konnte ich net zugreifen.

Als nächtes hab ich dann mithilfe weiterer Links beides wieder aktivieren können.
Malewarebytes drüberlaufen lassen und auch eScan.

Malewarebytes hat nichts gefunden. eScan schon, wenn auch nicht viel und ich kann damit nichts anfangen.
Achja, als ich eScan im abgesicherten Modus ausgeführt hatte, konnte ich nicht mehr auf das Windowssecuritycenter zugreifen. (selber Fehler wie bei taskmgr und regedit).

Im Anhang befinden sich mal alle wichtigen Logs, bis auf eScan, die Log ist leider weg. Falls sie noch erforderlich sein sollte, bitte Bescheid sagen, dann führ ichs nochmal aus.
sptd.sys hies die File die eScan als infiziert erkannt hat.

OSAM und OTL sind gezipt. OTL war zu groß als txt und OSAM is ne html.

Danke für die Hilfe.

/edit: Achja, GMER ging nicht.

Hallo und :hallo:

eScan wird hier eigentlich nicht mehr supportet, aber was genau hat es gefunden? Sowas immer posten!

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

eScan hatte die Datei sptd.sys in C Windows System32 Drivers gefunden.
Gehört wohl zu Alcohol120%. Hab sie gerade mal rausgesucht auf der Platte...
Komischerweise heist sie nun sptd.sys.13125556 !? Kann damit nix anfangen ^^

Ich glaub aber ich habs rausgefunden. Hatte Alcohol120% installiert und da gab Antivir ne Meldung, dass im Temp Verzeichniss in TR/Dropper.Gen gefunden wurde und der Zugriff blockiert. Aber plötzlich fand Malewarebytes die beiden Trojaner in der Registry (siehe Anhang). Das hat Antivir ja toll gemacht!?
Hab sie mit Malewarebytes entfernt. Danach ging auch sofort der Taskmgr und die Registry wieder.

Reicht das? Achja, das installierte Alcohol120% lässt sich nicht entfernen und steht auch nicht in der Programmliste bei den installierten Programmen.

Im Anhang der Vollscan mit Malewarebytes und der Antivirfund.

Danke!

Bitte genauer lesen. Ich wollte einen Vollscan sehen!

Ups....falsche Scandatei ausgewählt.
Hier is die richtige.

Hm, mehr wurde nicht gefunden? :dummguck:

Sieht so aus.
Wieso?
Is dir was komisches in der Hijacklog aufgefallen?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Im Anhang :)

CCleaner hab ich au ausgeführt!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alle im Anhang :)
2 Sachen waren farblich markiert im OSAM!?

Hast du eigentlich ne Vermutung, dass da noch mehr im Argen is oder warum die ganzen Scans?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

mhm Superantispw hat was gefunden...in der Quarantäne is aber nix.
siehe Anhang :)

Nur ein Überrest, harmlos.
Rechner wieder paletti?

Jo, es gab ja zum Glück keine anderen Auswirkungen außer das mit dem Taskmgr und der Registry oder hattest du noch was entdeckt?

Was ham die Teile denn sonst noch angestellt ?

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen Dank :party:

Aber war die Infektion jetzt so heftig, dass ich alle Passwörter ändern muss?
Ich mein, was war das überhaupt? Bis auf die Sperrung von registry und taskmgr hab ich ja nix gespürt und gefunden wurde ja au nix anderes, oder!?

Den Ratschlag mit dem PDF nehm ich gern an! Danke!
Den Rest hab ich gecheckt :)

Das ist eine reine Vorsichtsmaßnahme!!

Schon klar!

Also man kann nie sagen, was diese Dinger so alles angestellt haben!?

Was genau im Detail die angestellt haben nicht. U.a. deswegen besteht auch immer ein Restrisiko nach einer Bereinigung.

Heyho,

danke nochmal für deine Hilfe.

Als ich heute bischen aufräumen wollte fiel mir ein Ordner in C:\ auf namens Qoobox. Darin ist ein weiterer Ordner namens Backenv. Den kann ich weder öffnen, noch löschen, noch umbenennen.
combofix /u funktioniert auch nicht. Da passiert garnix :/

Was tun? :)

Der Qooboxordner ist der Quarantäneordner von CF, da sind die verschobenen Dateien eigentlich gut aufgehoben. Muss der unbedingt weg? Wenn ja lad dir OTM von Oldtimer führ es aus und klick auf den Button Cleanup.