Windows XP Recovery, habe ich alles richtig gemacht?
 

Hi Leute,

ich hab mir gestern im vorbeigehen einen Trojaner eingefangen und wüsste gerne, ob ich ihn erfolgreich und vollständig entfernt habe. Mein Problem wird ziemlich genau in http://www.trojaner-board.de/99082-w...entfernen.html beschrieben, ich habe die dortige Anleitung auch schon abgearbeitet. Log Files hänge ich an.

Erst kam ein Warnung von meinem Antivir

Antivir - Meldung: Funde
ldl8153.tmp TR/ATRAPS.Gen2
52732.sys TR/Crypt.ZPACK.Gen

Ich habe die Dateien in Quarantäne verschieben lassen. Da ich wissen wollte, ob die aktuelle Seite Grund für den Alarm ist habe ich die Seite aktualisiert, dann kam von Antivir die selbe Meldung, ich habe die Dateien wieder in Quarantäne verschoben und den Betreiber der Internetseite informiert.

Danach kamen ein paar Fake Meldungen der Art

Hard Drive Failure
The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system.

Ich habe dann das System neu gestartet, war vermutlich ein Fehler. Danach war mein Desktop Hintergund schwarz, alle Icons verschwunden, rechtsklick auf dem Desktop war nicht mehr möglich, die meisten Elemente im Startmenü waren verschwunden und das Windows XP Recovery Tool und das Programm "Critical Error" (roter Kreis, weißes Kreuz siehe http://www.trojaner-board.de/99082-w...entfernen.html) wurde gestartet. Ich habe dort nichts angeklickt sondern

ich habe Windows dann neu gestartet und im abgesicherten Modus hochgefahren. Über msconfig konnte ich herausfinden, dass sich per Registry folgendes Programm eingeschlichen hat

Einträge in msconfig

Systemstartelement: fJhJIqofiBapKso
Befehl: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fJhJIqofiBapKso.exe
Pfad: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten konnte ich dann folgende Dateien entdecken, welche frisch entstanden sind, ich vermute über den Besuch der Internetseite.

fJhJIqofiBapKso.exe
18538276.exe
18538276
~18538276r
~18538276

Ich habe die Dateien in ein rar Archiv gepackt und gelöscht. Auf Wunsch kann ich die Programme ausliefern. Meine vermutete Quelle (Internetseite) kann ich auf Anfrage auch gerne liefern

Danach habe ich Windows neu gestartet und die Registry durchsucht, einige der gelisteten Einträge habe ich gelöscht. Danach habe ich die Progrmmae rkill, Malwarebytes, TDSS, OLT und unhide ausgeführt. Einige Probleme wurden gemeldet, konnten aber scheinbar behoben werden, siehe Log Files. Die letzten Suchläufe habe ich mit deaktiviertem Antivir gemacht.

Folgende Symptome

- zahlreiche Ordner (Desktop, Anwendungsdaten, Eigene Dateien, Symbolleiste) waren verschwunden, sind wieder sichtbar
- Einträge im Startmenü waren weg, die Ordner sind wieder da, aber die ganzen Verknüpfungen zu den Programmen fehlen noch, wie bekomme ich die wieder?
- strg+alt+entf -> Task Manager konnte nicht ausgewählt werden, ist wieder sichtbar
- schwarzer Desktop Hintergund -> habe wieder den normalen Hintergrund
- mein Stickis Programm hat gemeckert dass es in C:\Dokumente und Einstellungen\user\Anwendungsdaten\stickies\stickis.ini nicht schreiben kann, ich habe die Schreibschutz- und Hiddenflags in Anwendungsdaten enftfernt geht jetzt wieder
- Ähnlich zu Stickies hat auch Firefox gemeckert (tinyhtml addon) geht aber auch wieder
- Ich hatte z.B. MultiMon auf Autostart, dieses wird nicht mehr automatisch ausgeführt

Muss ich sonst noch etwas machen oder beachten? Bekomme ich irgendwie mein Startmenü wieder? Habe ich eventuell noch einen versteckten Trojaner irgendwo?

Vielen Dank schonmal im Vorraus

Ist dieser Mini-Webserver gewollt? Wenn ja, Malwarebytes hat den gelöscht, weil es diesen als Riskware einstuft.

Ja da war ich mir nicht sicher, aber ist Bestandteil von den PHP 5.3 Sourcen ausm SVN da ich es nicht brauchte lieber weg damit

Weißt du denn wie ich mein Startmenü retten kann oder ob sonst noch was zu beachten ist?

Evtl. mit unhide:

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Danke für deine schnelle Antwort.

unhide habe ich bereits ausgeführt. Danach sind die Ordner im Startmenü wieder aufgetaucht aber die Verknüpfungen zu den Anwendungen sind immer noch weg

Hast durch irgendwas den Tempordner geleert? Manche Schädlingsvarianten verschieben den Inahtldes Startmenüs nach %tmp%\smtmp

Haha vielen Dank, da habe ich die Startmenüeinträge gefunden. Muss ich denn Sorgen haben dass noch irgendwo ein Trojaner oder ähnliches versteckt ist oder sonst was fehlt was ich derzeit noch nicht entdeckt habe? Ist der erste Virus/Trojaner den ich mir in den letzten 10 Jahren eingefangen habe ...

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Okay habe ich gemacht, was hat er jetzt gelöscht? Mount Points und meine Host Datei?

========== OTL ==========
Prefs.js: "127.0.0.1" removed from network.proxy.ftp
Prefs.js: 8888 removed from network.proxy.ftp_port
Prefs.js: "127.0.0.1" removed from network.proxy.gopher
Prefs.js: 8888 removed from network.proxy.gopher_port
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 8888 removed from network.proxy.http_port
Prefs.js: "localhost,127.0.0.1" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "127.0.0.1" removed from network.proxy.socks
Prefs.js: 8888 removed from network.proxy.socks_port
Prefs.js: "127.0.0.1" removed from network.proxy.ssl
Prefs.js: 8888 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ not found.
File H:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ not found.
File H:\Menu.exe not found.
C:\WINDOWS\tasks\SDMsgUpdate (TE).job moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1955FF3 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.22.3 log created on 05192011_165805

ja, den üblichen Müll entfernt, Hostsdatei vorsichtshalber zurückgesetzt und den proxy der auf localhost konfiguriert war entfernt.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi, hatte das Tool schonmal ausgeführt (siehe oben), er meldet jetzt das selbe wie damals, Infection not found, mehr nicht. Er meldet lediglich eine gesperrte Datei die hab ich aber mal mit unlocker freigegeben und dann findet er auch nichtsDie gesperrte Datei ist diese hier

Service name: sptd
Service type: Kernel driver (0x1)
Service start: Boot(0x0)
File: C:\WINDOWS\system32\Drivers\sptd.sys
MD5: cdddec541bc3c96f91ecb48759673505

Wenn ich nach dem Scan auf report klicke kommt allerdings

Auf das Dokument C:\TDSSKI~2.TXT kann nicht zugegriffen werden, da es von einer anderen Anwendung verwendet wird

Die Datei kannste ignorieren, die ist ok. Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich kann den Leitfaden zu ComboFix nicht öffnen. Mal interessehalber: Was macht den Einsatz von Combofix so riskant und wann kann man es einsetzen? Ich will mir den Rechner nicht zerstören.

Dann wende CF einfach nur wie in meiner Anleitung an. Wird schon schiefegehen ;)

Okay ging recht flott

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi,

es hat aufgrund es Wochenendes etwas länger gedauert, aber hier sind die Log Files

GMER
GMER Logfile:
--- --- ---


OSAM
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

MBERCheck

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Eine zusätzliche "Meinung" über das System verschafft uns auch der OnlineScanner von ESET:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

soderle,

hier schonmal der erste

Vollscan von Malwarebytes hab ich bereits Donnerstag gemacht, der hat nichts gefunden, trotzdem nochmal?

Eset starte ich jetzt

Ja, neuen Vollscan mit aktuellen Signaturen!

ESET ist auch durch. Das genannte rar Archiv ist der ursprüngliche Trojaner, den ich in ein zip Archiv verbannt habe

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=9e2dcb14c4c380418248e6e969ccc1e2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-24 08:32:45
# local_time=2011-05-24 10:32:45 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777195 100 0 68808409 68808409 0 0
# compatibility_mode=8192 67108863 100 0 131 131 0 0
# scanned=237445
# found=1
# cleaned=0
# scan_time=13070
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trojaner.rar a variant of Win32/Kryptik.NWK trojan (unable to clean) 00000000000000000000000000000000 I

und dann noch

Vielen Dank schonmal soweit für deine Hilfe :)

Wo kommt denn das Archiv her? Selbst erstellt?

Es fing ja damit an dass in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten zwei exe Dateien aufgetaucht sind (Windows XP Recovery). Die habe ich dann in nen Archiv verschoben und gelöscht.

Achso, ja dann kann das Archiv eigentlich auch weg.
Rechner sonst wieder im Lot?

soweit scheint alles zu laufen, ich hoffe mal das damit alle Bösewichte verjagt sind :)

Besten Dank für deine Zeit und Hilfe

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi,

danke. Das habe ich direkt mal gemacht. Was ich mich dabei aber frage, Windows, Acrobate, Flash und auch Java machen regelmäßig automatische Updates. Wie kann es sein, dass die trotzdem nicht aktuell sind? Muss ich jetzt regelmäßig diese Prozedur wiederholen? Und warum muss ich bei Windows extra noch mal ein Update Tool installieren? Das erschließt sich nicht so ganz für mich.

Bei PDF habe ich mich für den Foxit Reader entschieden. Dieser ersetzt aber nicht den PDF Reader, wenn ich PDF Dateien innerhalb des Browser öffner oder doch?

Ist nur ein Hinweis gewesen, nach Abschluss dieser Prozedur mal auf die Aktualität der Programm zu schauen. Natürlich machen viele Tools Auotupdates (alle jew mit ihrer eigenen Engine :balla:) nur find ich es besser, wenn man das nochmal lieber kontrolliert.

Wer redet hier von einem Updatetool?

Doch, der Foxit ersetzt den Adobe im Prinzip komplett.
Inwiefern ist das Öffnen von PDFs innerhalb des Browser wichtig? Der Foxit macht das zwar, aber man kann doch nach dem Download einer PDF diese einfach per Doppelklick mit dem Foxit öffnen lassen.

Achso nagut, dachte nur mein Adobe Reader wäre veraltet weil du das geschrieben hast, das verwirrte mich.
Naja Windows hat das Updatetool vorgeschlagen auf der entsprechenden Seite daher ...
Ich werde das mit Foxit mal ausprobieren. Grundsätzlich ist es halt bequem, wenn man eine PDF direkt angezeigt bekommt statt sie extra öffnen zu müssen, aber ich denke da lasse ich Sicherheit mal vor Faulheit siegen :)