Windows XP Repair Malware
 

Hallo liebe Community,
ich wurde vor einigen Tagen von Windows Xp Repair befallen. Fake Security Center, unsichtbare Dateien, extrem langsam, ungefragte Reboots, etc.
Ich habe mich einer Empfehlung dieser Seite folgend zunächst an rkill, malwarebytes und TDSSKiller gehalten.
Ich habe diese Programme zuerst im abgesicherten Modus ausgeführt, aber nach einem Reboot war Windows XP Repair wieder aktiv wie zuvor.

Also habe ich jetzt nochmal im normalen Modus alle Programme geupdated und drüber laufen lassen. Ich habe den Pc aber noch nicht neu gestartet, ich wollte euch erstmal die Ergebnisse posten und um Rat fragen, damit ich das Problem wirklich los werde.

rkill.log
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 05.07.2011 at 22:35:22.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cRdQIGspBdjhpow.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19390244.exe
C:\Dokumente und Einstellungen\Marian Kasprowski\Eigene Dateien\eXplorer.exe


Rkill completed on 05.07.2011 at 22:35:53.

malwarebytes log:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 7029

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

06.07.2011 08:06:22
mbam-log-2011-07-06 (08-06-22).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Objects scanned: 332946
Time elapsed: 2 hour(s), 7 minute(s), 23 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cRdQIGspBdjhpow (Trojan.FakeAlert) -> Value: cRdQIGspBdjhpow -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\dokumente und einstellungen\all users\anwendungsdaten\crdqigspbdjhpow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\19390244.exe (Trojan.Agent) -> Quarantined and deleted successfully.





Hoffe ihr könnt mir weitere Handlungsanweisungen geben. :)

Danke.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Gesagt, getan, nun hat sich allerdings OTL aufgehangen (keine Rückmeldung) an der Stelle, wo es unten in der Statusanzeige heißt: "Scanning firefox settings...", dazu fällt mir noch ein, dass ich jetzt auch grade Iexplorer benutze, denn seit dem Virusbefall kriege ich beim Versuch firefox u starten die Fehlermeldung: "Couldn't read application.ini".

Soll ich einfach OTL mit dem gleichen Skript noch mal neu starten oder vorher irgendeine andere Aktion durchführen?

Vielen Dank für die Hilfe übrigens, ich weiss das sehr zu schätzen.

Probier es bitte nochmal. Wenn das nicht klappt probier es so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Auch wenn ich OTL mit Minimal Output laufen lasse, das gleiche Ergebnis, irgendwann bleibt er bei "Scanning firefox settings..." hängen und egal wie lange ich warte, es tut sich nichts, der Mauszeiger verwandelt sich eine Stopuhr, klickt man auf die OTL Arbeitsoberfläche: Reagiert nicht.

Muss ich Firefox deinstallieren? Gibt es eine andere Möglichkeit?

Dann überspringen wir OTL erstmal.
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi, also, ich habe TDSSKiller schon diverse Male im abgesicherten Modus laufen lassen, bevor ich mich an dieses Forum gewendet habe, da ich nach jedem Neustart komischerweise wieder von Windows XP Repair geplagt wurde, obwohl mir vor dem Reboot ein Malware/Rootkit freier Pc angezeigt wurde.

Ich habe aber alle in den letzten Tagen ausgeführten TDSSKiller Skripte gespeichert und führe diese nun in chronologischer Reihenfolge auf (momentan wird mir (im nicht abgesicherten Modus) kein Befund angezeigt):

Das sind alle Protokolle die ich habe.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix log
Combofix Logfile:
--- --- ---


zusätzliche Info: an einem Punkt hat Combofix meinen Computer neu gestartet, nach dem Neustart war Antivir wieder aktiv und als ich irgendwann zurückkam und die Logfile sah, war auch eine Warnmeldung von AntiVir Guard zu sehen, die aussagte: C:\System Volume Information\...\A0110256.exe
Ist das Trojanische Pferd TR/Trash.Gen

Diese Meldung hatte ich auch früher schon von AntiVir bekommen, doch egal ob man Zugriff verweigern, Löschen oder In Quarantäne verschieben wählt sie taucht immer wieder auf.

Nach der Anwendung von Combofix sind übrigens alle unsichtbaren Dateien wieder zu sehen?! Es bedarf also keiner zusätzlichen Anwendung mehr, Combofix hat alles wieder sichtbar gemacht.

Mein Notebook ist auch schneller als er in den letzten paar Jahren war.

Das wichtigste: WIndows Xp Repair scheint tatsächlich gebannt! Endlich.

Was kann ich jetzt noch machen um auch in Zukunft diesen und ähnlich gravierende Malware von Anfang an fernzuhalten?

Wir sind noch nicht fertig!!



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Alles klar. Allerdings muss ich anmerken, dass ich nicht nach einem Neustart gefragt wurde. Nur am Anfang ob ich Combofix updaten will, was ich einfach mal bejaht habe.

Hier die Logfile:

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes