Trojaner & Roo/Tdds erfolglos bekämpft?
 

Hallo allerseits,

ich habe auf meinem Laptop Windows Vista SP2 laufen, eigentlich immer mit den neuesten Updates. Gestern entdeckte mein Avira Antivir bösartige Software mit dem Namen Roo/Tdds... Hinter dem Tdds stand noch eine Zahl oder ein Buchstabe, den Zettel, auf dem ich das notiert habe, liegt leider im Büro, sorry.

Nach der Entdeckung poppten allerlei Fehlermeldungen auf, u.a. solche Fake-Meldungen, die behaupteten meine Festplatte sei kaputt oder der Arbeitsspeicher wäre nicht mehr da. Gleichzeitig wurden alle Desktopsymbole versteckt, ebenso alle Programme unten in der Startleiste sowie in der Liste, die man mit dem Windowsbutton unten links aufrufen kann. Sollte wohl einen Datenverlust simulieren und den User erschrecken. Hat es auch zuerst.

So, nun habe ich mich an die Bekämpfung gemacht und bin dabei recht schnell auf dieses Forum gestoßen. Habe allerdings nur quergelesen und verschiedene Programme runtergeladen und durchlaufen lassen. Als erstes habe ich TDDSkiller.exe installiert. Das hat zwar allerlei Dinge gefunden, das Problem aber nicht behoben. Nun folgten eine Reihe von anderen Programmen in wilder Reihenfolge, was wohl ein Fehler war: Combofix, HitmanPro, natürlich Antivir & Antivir Rescue Disc und noch einige andere, die ich leider nicht mehr alle zusammenbekomme. Combofix ist abgeschmiert, ich hatte allerdings Antivir und Ad-Aware im Hintergrund laufen. Als letzes hat mir ein Kollege noch ein Programm auf einen bootfähigen USB-Stick geladen. Der Scan hat einige Stunden gedauert und auch nicht sonderlich viel bewirkt.

Inzwischen scheint das System zwar wieder stabil zu laufen, aber sauber ist es bestimmt noch nicht. Außerdem sehe ich immer noch nichts in der Programmleiste, der Hintergrund ist weiterhin schwarz und die Symbole in der Schnellstartleiste sind entfernt worden, neue kann ich hinzufügen. Ich traue mich nicht mich ins Online-Banking einzuloggen oder andere sensible Geschichten zu machen. Ist mein System sauber? Was kann ich tun, um Vista wieder normal zum Laufen zu bringen?

Ach ja, eine Systemwiederherstellung mit einem Wiederherstellungspunkt von vor ein paar Tagen schlug fehl.

Hier mal zwei TDSSKiller Logfiles. Einmal vom ersten Scan nach der Infektion und dann nochmal von eben gerade:

Vielen Dank für eure Hilfe!

Gruß, Stanomaly

Nachtrag: Da hier öfters nach Malwarebytes-Logs gefragt wird, habe ich das grad runtergeladen, aktualisiert und gestartet, es läuft gerade noch. Hätte ich Antivir ausschalten sollen? Das hat jedenfalls grad gemeldet:

"Datum/Uhrzeit: 21.09.2011, 20:10:46 Typ: Fund

In der Datei 'C:\&Recycle.Bin\...\List.bat' wurde eine Virus oder ein unerwünschtes Programm 'HEUR/HTML.Malware' gefunden.

Der Zugriff auf diese Datei wurde verweigert."

Ist das ein Virus oder hat Antivir nur Malwarebytes gefunden?

So, der Malwarebytes-Scan ist nun fertig. Hat eine Weile gedauert und es ist einiges zusammen gekommen:

Soll ich das Programm die infizierten Objekte entfernen lassen?

Edit: Habe nun die Objekte entfernt. Hoffe das war OK... und neugestartet.

Log:
Jetzt mach ich noch nen Quick-Scan.


Edit2: Quickscan hat nix mehr gefunden:

Habe nun auch eure Checkliste gefunden. Soll ich nun mit Schritt 1 beginnen, also defogger installieren? Sorry, dass ich das erst jetzt gesehen habe!

Eins vorweg: Es sollte hinlänglich bekannt sein, dass eine Bereinigung keine 100% Sicherheit (in Bezug auf Entfernung der Infektion) liefert und man den Rechner plätten und neu installieren sollte, wenn man kritische Dinge wie zB Onlinebanking in Zukunft weiterhin sicher erledigen will. Gerade beim BKA-Fake seh ich häufig noch SpyEyes-Infektionen - SpyEyes ist ein gefährlicher Keylogger, der sämtliche Tastaturanschläge aufzeichnet und so prinzipiell jedes eingetippte Passwort klauen kann!
Falls du lieber eine Neuinstallation vornehmen und vorher noch alle relevanten Daten sichern willst, folgst du zuerst dem 2. Link in meiner Signatur zur Datensicherung über Ubuntu oder einer anderen beliebigen Live-CD, anschließend dem Artikel zur Neuinstallation von Windows. Natürlich änderst du dann auch sämtliche Passwörter, wenn das System frisch installiert wurde!

Wichtig: Sichere über die Live-CD nur reine Datendateien, KEINE ausführbaren Dateien wie Programme/Spiele oder Setupdateien!

Danke für die schnelle Antwort! :daumenhoc

Würde eine Neuinstallation von Windows die Infektion denn tatsächlich vollständig beheben? Und dürfte ich wirklich gar keine ausführbaren Dateien retten, auch nicht von Programmen, die ich gut und lange kenne?

Musst du wissen ob du die behalten willst und damit das Risiko eingehen möchtest.
Eine komplette Neuinstallation von Windows ist aber die sicherste Methode, Infektionen zu beseitigen.

Dann wird es wohl auf eine Neuinstallation hinauslaufen. Leider komme ich erst in etwa zwei Wochen wieder nach Berlin, wo meine ext. Platte und meine Windows-DVD liegt. Leider kann ich auf den Rechner bis dahin nicht verzichten, da ich ihn gerade unterwegs auch für die Arbeit brauche. Zeichnet der Trojaner denn alles auf, was ich tue?

Was kann ich in der Zeit, bis ich Formatieren kann, tun, um mich zu schützen?

Wir können ihn erstmal bereinigen bis du die Zeit hast ihn zu plätten.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sorry, da hab ich wohl gleich wieder Mist gemacht.

Bin den Anweisungen gefolgt und hab alle Antivirenprogramme ausgeschaltet und den ESET-Scan gestartet. Da der sich nach 26 durchsuchten Dateien und 3% Fortschritt nicht mehr weiter bewegt hat (ca. 15 min.), dachte ich es liegt am Windows Defender, den ich nicht ausgeschaltet hatte, dachte der ist ohnehin wirkungslos. Die Windows-Firewall hab ich gleich mit ausgeschaltet. Danach den ESET wieder gestartet und nun schafft er es nicht mehr die Database upzudaten. Er fängt bei 50% an und sucht dann ein paar Sek. Dann sagt er "Can not get update. Is proxy configured?"

Was nun?? So ein Mist!!

Überlesen oder beim 2. Mal vergessen? => Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

So, hatte beim zweiten Durchlauf wohl wirklich vergessen als Admin zu starten. Hier nun das log vom abgeschlossenen Scan. Da hat sich wohl was in meinem Java eingenistet. Was nun?

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL.txt:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Done.

Direkt nach dem Neustart wollte Adobe Flash Player ein Update. Das Update konnte aber nicht installiert werden, weil wohl eine Datei im system32 Ordner nicht da war oder nicht darauf zugegriffen werden konnte.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Das Tool sieht irgendwie anders aus als beim letzten Mal und auf dem Screenshot. Hier der Report:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, Combofix ist auch durch:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hier ist das GMER-Log. Das Programm hat sich zwar nicht aufgehangen, aber irgendwann kam die Meldung "The scan was stopped." Ob d.h., dass fertig gescannt wurde weiß ich nicht.

Der OSAM-Scan folgt.

Hier OSAM:

aswMBR kommt auch gleich?

Jupp, hab's grad nochmal neu gestartet, da es sich scheinbar bei einer Datei aufgehangen hat. Hat jedenfalls eine halbe Stunde lang nicht weiter gemacht.

Diesmal hat's geklappt. Er hat sich trotzdem irgendwann an einer Datei verhakt. Ich poste mal das Logfile bis hierher, viel wäre ohnehin nicht mehr gekommen. Vielleicht hilft das schon weiter. Ansonsten versuche ich morgen nochmal einen vollständigen Durchlauf und lösche die Dateien, bei denen das Programm sich anscheinend gerne sehr lange aufhält.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

OK, danke, mache mich dann an die weiteren Scans. Hier ist erstmal noch das vollständige aswMBR Log, das ich noch schuldig war. ;)

Hier ist schonmal Malwarebytes, der Rest folgt später...