Malwareverdacht: Deaktivierte Antiviren-Software (incl. geblockte updates), Google-Umleitungen, etc
 

Guten Abend,

ich bräuchte dringend Hilfe da mit großer Wahrscheinlichkeit irgendeine Malware auf meiner Festplatte ihr Unwesen treibt.

Vorgestern am Samstag Abend hab ich den PC ganz normal heruntergefahren und hatte bis dato auch noch keine Größeren Probleme oder besondere Auffälligkeiten. Am Sonntag im Laufe des Tages dann den PC wieder ganz normal gestartet und sofort sind mir halt einige Sachen aufgefallen.

Symptome:

- direkt nach dem Hochfahren (Verbindung zum Internet wird automatisch hergestellt, da DSL-flat) stellte ich fest, dass die installierte Anti-Viren-Software nicht wie sonst aktiviert wurde, sondern als deaktiviert angezeigt wurde. Es handelt sich dabei um den Avira AntiVir Personal, den man im Internet ja gratis laden kann. Also der Guard war halt direkt nach dem Hochfahren deaktiviert und ließ sich auch von mir nicht manuell aktualisieren. Als ich dann das Update manuell starten wollte, startete dies ganz normal beendete sich dann aber relativ abrupt und startete daraufhin alle paar sek neu, so dass ich das Programm komplett deinstallieren musste.

- Daraufhin habe ich mir Internet testweise andere Programme geladen, um zu sehen ob diese irgendwas bewirken. Unter anderem Ad-Aware Free Internet Security welches sich jedoch nicht updaten ließ und auch der Scan wurde blockiert. Außerdem noch norton internet security 2011 doch auch hier ließ sich das Programm nicht updaten und der Scan wurde blockiert. Daraufhin habe ich dann noch Panda Antivirus Pro 2012 getestet, welches sich aber auch wiederum nicht updaten lässt. Hier kann ich zwar Scans mit der nicht aktuellen version durchführen, die aber auch oft hängenbleiben und nicht viel finden. Interessanterweise findet Panda verdächtige Datein im eigenen Ordner außerdem gemeldet wurde der Prozess 1231172168:3083705782.exe! Wenn ich das Programm starte zeigt es an "Gefahr!" und legt einem einen Neustart des Systems nahe, welcher jedoch nichts bewirkt.

- sonstige Auffäligkeiten: wenn ich einen Browser starte (egal welchen, hab firefox und safari probiert) und auf google etwas zur suche eingebe, danach dann auf die ergebnislinks klicke werde ich meist nich auf die entsprechende seite weitergeleitet, sondern auf andere Seiten wie gomeo und andere ominöse suchmaschinen.


Habe mich hier im Forum an die angegebene Vorgehensweise gehalten und sämtliche Scans durchgeführt, auch den mit Gamr da mein System Windows XP Professional ein 32 bit System ist.


Hier nun also die Logfiles:

1. defogger: ganz normal durchgeführt, genau wie in der Beschreibung


2. OTL: Auch hier alles genau wie in der Beschreibung ausgeführt und zwei .txt Dateien erhalten OTL und Extras


*zu lang um das hier im Thread abzubilden, daher beide Dateien im Zip-Archiv angehängt ;)


3. Gmer: Hat leider nicht funktioniert, habs geladen, dann Internetverbindung gekappt, alle Programme beendet auch die Antiviren-Software und dann alles so eingestellt wie beschrieben. Dann auf Scan geklickt und zack Programm wurde sofort beendet und ließ sich danach nicht mehr neu starten.



BTW: Habe nach jedem Scan ordnungsgemäß den PC neugestartet.



So mehr fällt mir erstmal nicht ein und is auch schon spät und ich bissl müde. Falls mir noch was einfällt poste ich es hier rein. Falls ich irgendwas falsch gemacht hab bei der Threaderstellung bitte hier reinschreiben oder ne PN schicken, damit ichs ändern kann, habe versucht mich so gut wie ichs verstanden habe an den Leitfaden des Forums zu halten.


Wäre nun sehr dankbar wenn mir jmd mit Rat und Tat zur Seite stehen könnte ;) :party:

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
So wie es aussieht, stehst du nicht unbedingt auf aktuelle Software!? :rolleyes:
dein System ist nicht auf dem neusten Stand! - Windows ist total veraltet, (das Service Pack 3 für Windows XP fehlt), der Internet Explorer ist technisch veraltet, JAVA sollte auch regelmäßig aufgefrischt werden!:
Um neu aufgetauchte Lücken dicht zu machen, jeden zweiten Dienstag im Monat ist Patch Day im Hause Microsoft. Kritische Schwachstellen, Sicherheitlücken werden mit dem Update behoben. Seit SP2 wurden gleich mehrere Lücken geschlossen. Der Internet Explorer muss auch aktuell sein, auch dann, wenn du ihn nicht verwendest!
aber ACHTUNG! nur am Ende der Reinigung das aktuelle Service Pack installieren, in diesem Zustand nicht! Auf ein verseuches System zu installieren bringt nichts, im Gegenteil! - ich werde Dir Bescheid sagen wann
All dies hat dann natürlich auch Auswirkungen auf die Systemsicherheit und erschwert die systembereinigung! Eine empfohlene Maßnahme wäre:
die Festplatte zu formatieren und Windows neu einzurichten!

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

4.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
kira

Naja also ich hab halt damals windosw installiert samt SP2 und als dann später SP3 rauskam wurde mir empfohlen es nich sofort draufzupacken, sondern erstma zu warten. Naja und wies halt so läuft, aus den Augen aus dem Sinn >_< Außerdem hatte ich die Windows-Firewall und die automatischen Windows-Updates die ganze Zeit immer deaktiviert, da ich viele Spiele zocke auf dem PC (Auch online) und naja Windows Firewall kills it ...



-> Habe GMER geladen, danach genau die Anweisungen befolgt. Alle Verbindungen gekappt, alle Programme beendet, dann GMER ausgeführt und Scan gestartet. Nach Start des Scans habe ich nix gemacht, nich mal die maus bewegt. Er is dann ein bissl gelaufen und wurde einfach so plötzlich abrupt beendet, dh speichern eines log files war nicht möglich. Danach hab ich erstmal den PC neugestartet.


-> mbr geladen und alles nach deinen Anweisungen ausgeführt. Keine Probleme aufgetreten. Hier der log file:



-> Habe Mbam geladen und upgedatet, bis dahin gabs kein Problem. Danach wie von dir beschrieben "Komplett Scan durchführen" gewählt und überall Haken gesetzt. Scan wurde gestartet jedoch wie auch schon bei GMER abrupt beendet, weshalb das anlegen eines log files nich möglich war. Danach habe ich den Computer neugestartet. Wenn ich jetzt Mbam starten will kommt folgende Fehlermeldung:

C:\Programme\Malwarebytes'Anti-Malware\mbam.exe
Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.



-> OTL hatte ich ja bereits auf dem PC. Also gestartet und deinen Anweisungen entsprechend durchgeführt. Hier nun die Log files:

OTL.Txt

Extras.Txt

-> siehe Zip-Datei im Anhang

-> Ccleaner geladen und ausgeführt ohne Probleme. Hier nun die Text-Datei:

Vielen Dank schonmal für deine Hilfe bisher. Habe versucht alles so zu machen wie du es beschrieben hast. Bei den Sachen wo es nicht funktioniert hat, liegt das denke ich dann an der Malware die bereits auf der Platte ihr Unwesen treibt :/

MfG

1.
Hast du es denn in der Hosts selbst eingetragen bzw absichtlich zugefügt? Wenn ja, warum?
2.
Deinstalliere:
3.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Joa danke erstma für die schnelle Bearbeitung, habe versucht alle deine Schritte zu befolgen ... Problem der OTL fix ging in die Hose, habs eingefügt und die *** ersetzt scan gestartet und naja zack OTL wurd gekillt, jetz kann ich auch kein OTL scan mehr durchführen ... kommt wieder die bekannte Fehlermeldung:

Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

Joa was kann ich jetz noch versuchen? :>

Dein Log sieht überhaupt nicht gut aus, der Rechner ist total verseucht. Ein Grund dafür ist das ungepatchte System (kein Service Pack 2)usw.
Also Du kannst dir Ärger und unnötige Zeitverschwendung ersparen, indem du dein System ne installierst

1.
Du kannst dein System noch versuchen von der Live-CD starten - ermöglicht es Nutzern, Daten sichern wenn gar nix mehr geht. - Damit lassen sich auch verseuchte Systeme wieder einigermaßen brauchbar machen:
Live-System
z.B: Knoppix Live-CD - Erstellen und Handhabung
LiveCDs - kostenlose Möglichkeiten

2.
oder gleich Format C starten

Tipps und Rat:
Datensicherung - Nur auf die nicht verzichten kannst:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!

die Sicherung wieder zurückspielen:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten
- extern gesicherte Daten-Datenträger anschließen, gründlich scannen lassen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )

• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)

Jo hab ich mir schon gedacht. Wollte es halt erstma so versuchen ob was geht, das hätte die Datenrettung ein wenig vereinfacht. Naja es ist nicht so tragisch, die Zeit dieser Festplatte is eh abgelaufen, die neue 2 TB-Platte liegt schon parat. Ich hab jetz hier leider keinen 2ten PC am start deswegen muss ich jetz wohl oder übel noch 2 Tage mit der versuchten Platte surfen, aber werde nur noch unwichtige Sachen dann am PC machen. Freitag gehts dann zur Familie, dann nehm ich die Platte ma mit und werds ma mit ner externen Rettungs-CD dann versuchen und gucken ob ich noch paar Daten unter Einsatz von Anti-Viren-Scannern vllt saven kann.

Vielen Dank schonmal soweit für deine Hilfe.

Zum Abschluss noch 2 Fragen:

1. Zu dem Zeipunkt da ich die Verseuchung festgestellt hab oder besser gesagt zu dem Zeitpunkt da sie ein bedenkliches Ausmaß annahm (weil gehe ma davon aus das schon vorher was drauf war und ichs nur net gemrkt hab), hatte ich meine neue Festplatte als externe an den PC angeschlossen. Die neue FP ist zwar schon partitioniert und es liegen auch Daten drauf aber es wurde noch kein Betriebssystem drauf installiert und auch sonst keine Programme installiert und auch keine sonstigen .exe Dateien ausgeführt. Nun die Frage: besteht die Gefahr, dass auch diese Platte mit Schädlingen befallen ist und reicht es dann einfach ein paar Scanner über die sich darauf befindlichen Daten laufen zu lassen, um zu checken ob die sauber sind?

2. Werde auf meiner neuen Festplatte Windows 7 installieren. Hast du vllt noch ein paar Tipps wie ich die Platte von Anfang so gestalten kann, dass es möglichst nich wieder soweit kommt wie bei meiner alten Platte? Ich meine mir ist durchaus klar, dass es im Endeffekt auf mein eigenes Nutzungsverhalten ankommt, aber nunja auf der alten FP hätte ich doch einiges besser machen können, hatte keine vernünftigen Scanner drauf und naja das mit dem SP hab ich halt auch verpennt. Also wäre cool wenn du mir da noch paar Tipps zur Einrichtung meiner neuen FP in punkto Sicherheit geben könntest ;)

Ansonsten danke schonmal und hoffentlich muss ich mich mit der neuen FP dann nich bald wieder hier melden^^

MfG

- Vor zurückspielen:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten
- Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
empfohlenen Scanner von:
Zitat von Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn:
Ich kann nur zustimmen.
Jedoch gilt es einige wichtige Dinge zu beachten:

- sollte schnell und ressourcenfreundlich (RAM, CPU-Last) wie möglich sein
- richtig konfiguriert sein und mindestens täglich 1 X Update
- übersichtlich, verständlich und leicht bedienbar
► wenn kostenlos:
Avira -> Download von hier:-> Avira AntiVir Personal - Free Antivirus
-> Avira AntiVir Personal - Free Antivirus
Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen!

Avast -> avast! Free Antivirus
Microsoft Security Essentials -> Microsoft Security Essentials

►Anleitung: Neuaufsetzen des Systems + Absicherung
► Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

gruß
kirahttp://www.world-of-smilies.com/wos_...schilder92.gif