2 Symptome, 2 Infektionen: IE 8 hängt sich auf / JAVA/Fester.J // Akzente doppelt / Trojan.Spyeyes
 

Hallo liebe Plagegeisterbekämpfer!

Mein Problem ist das folgende:
Nach einem kürzlich erfolgten Neuaufsetzen des Systems (infolge einer XP Total Security-Infektion) hat offensichtlich schon wieder ein Schädling zugeschlagen.
Es begann damit, dass sich der Internet Explorer 8 plötzlich auf manchen Seiten unrettbar aufhängte (z.B. Spiegel.de oder web.de, wenn man ins Postfach will). Mit "unrettbar" meine ich, dass die Anwendung doppelt im Task Manager angezeigt wurde, mit dem Kommentar "Keine Rückmeldung", und sich nur noch per Task Manager beenden ließ.
Kurz darauf ließ mich Avira wissen, dass die Bedrohug "JAVA/Fester.J" isoliert worden sei.
Am selben Tag stieg ich auf den Firefox um, um zu testen, ob die genannten Webseiten damit funktionieren würden. Kurz und bündig: Sie tun es; alles läuft mit dem FF ohne Probleme.

Am gleichen Tag wurde aber ein zweites Symptom offenbar: Ich kann keine Akzente mehr setzen. Egal ob ^^, ´´ oder ``, bei einfachem Tastendruck kommt sofort der gewünschte Akzent in doppelter Ausführung und lässt sich somit nicht mehr auf Buchstaben setzen. (Was besonders ärgerlich ist, wenn man den ganzen Tag spanische und französische Texte tippen muss ...)
Der anschließende Scan mit Malwarebytes zeigte eine Infektion mit Trojan.Spyeyes an.

Soviel zur Vorgeschichte, ich hoffe, es war nicht zuviel unnützes Geschwafel.

Vielen Dank im Voraus! :)

P.S.:
Wenn hier und da das eine oder andere N fehlt, liegt das daran, dass die Taste bei mit kaputt ist und ich ein fehlendes N übersehen habe ...

Neuaufsetzen, damit meinst du die komplette Löschung des Systems? Oder hast du nur drübergebügelt oder format c?

Windows wurde nach der Neuinstallation auch vernünftig abgesichert?

Log dazu? Wieso postest du das nicht gleich?

Soweit ich weiß (ich habe es nicht selber gemacht - in ein paar Stunden kommt die, die es sicher weiß) mit format c und anschließend mit der Windows-XP-CD gebootet.

Du wirst mir wahrscheinlich bescheinigen, dass das nicht so war ... :/
Jedenfalls waren die ersten beiden neuen Programme nach der Neuinstallation Malwarebytes und Avira AntiVir. Mehr Sachen, die in die Richtung Schutz gehen, kann ich in der Softwareliste nicht entdecken.

Sorry, mein Fehler. Das neueste Log ist jetzt im Anhang.

Edit:
Ich habe Malwarebytes übrigens bisher nicht den Befehl gegeben, die Infektionen zu entfernen, weil ich mir nicht sicher bin, ob das wirklich helfen oder nur kosmetische Auswirkungen haben würde.

Ein Virenscanner ist für die wichtigste Erstabsicherung völlig irrelevant.
Am wichtigsten ist, dass mal erstmal zusieht, offline alle wichtigsten Patches für Windows zu installieren. SP3 plus Folgeupdates. Dann richtet man sich einen Benutzer zum Arbeiten an, der hat KEINE Adminrechte, Adminrechte holt man sich über das Adminkonto nur wenn man diese wirklich braucht!

Wenn das System abgesichert ist, dann kann man sich Gedanken um einen Virenscanner machen.

Schon OnlineBanking oder andere kritische Sachen mit diesem Rechner nach der letzten Neuinstallation gemacht?

Aha, gut zu wissen.
Ja, das ist geschehen.
OK, das ist nicht geschehen. Es gibt hier nur ein einziges Benutzerkonto.

Onlinebanking nein, aber Studiumsverwaltung über diverse Uni-Portale.
Passwörter ändern lassen?

Da du vom SpyEye befallen bist und irgendwannn dochmal sowas wie Banking vllt machen willst, solltest du überlegen nochmal eine Neuinstallation zu machen. Dann ist Spyeyey sicher weg.

Oder du willst bereinigen und nimmst das Restrisiko die jede Bereinigung hat in Kauf.

Hm, Onlinebanking ist eigentlich nicht vorgesehen. Falls doch, würde ich natürlich sofort wieder eine Neuinstallation vornehmen.

Einstweilen laufen aber keine (allzu) sensiblen Daten über diesen PC, weswegen ich es zuerst mit einer Bereinigung probieren möchte.
Wie soll ich dabei vorgehen?

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hab die Anweisungen nach bestem Wissen und Gewissen befolgt; hier ist das Log vom TDSSKiller:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier das ComboFix-Log:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Im Anhang die Logs von GMER, OSAM und MBRCheck :)

Bzw. hier nochmal das Log von MBRCheck in Textform, wie aufgetragen:

Bitte mit OSAM deaktivieren und löschen

Hi!
Sorry für die Sendepause, der Laptop hat gestern und vorgestern einfach gestreikt ...
Meistens blieb der Bildschirm einfach schwarz, der Mauszeiger erschien, wurde irgendwann zur Sanduhr, und dann fror das Bild endgültig ein.
Zweimal war ein Bluescreen zu sehen, auf dem die Rede davon war, dass sich der Gerätetreiber nv4_disp in der Endlosschleife befindet.

Bin dadurch nicht dazu gekommen, den letzten Schritt mit OSAM durchzuführen. Bin jetzt im abgesicherten Modus, der das Gerätetreiberproblem anscheinend umgehen kann.
Was kann/darf/soll ich jetzt machen?

Läuft der PC jetzt nur noch im abgesicherten Modus?

Ja.

Versuch mal den Nvidia-Grafikkartentreiber zu deinstallieren, offensichtlich hat der das Problem verursacht.

Der erste Neustart nach der Deinstallation hat schonmal reibungslos funktioniert, vielen Dank!

Weißt du, warum der Grafikkartentreiber plötzlich angefangen hat, Stress zu machen?

Kann ich jetzt mit der Trojanerjagd fortfahren und, wie oben angesprochen, cerc6.sys mit OSAM deaktivieren und löschen?

Nein weiß ich nicht.
Ja mach mit OSAM weiter

Wie, hast du etwa doch keine Kristallkugel? ;)
Ist erledigt.
Hab in eurer Anleitung gelesen, dass ich den Report posten soll, der beim ersten Neustart nach dem Entfernen auftaucht. Den habe ich leider voreilig weggeklickt, aber der Inhalt war recht unspektakulär, da wurde darauf hingewiesen, dass ich eben diese Datei entfernt habe.

Hier das neue OSAM-Log:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset