abnow.com, dauer Bluescreen, was kann ich noch machen
 

Hallo Board!

Hab mir wohl einen Trojaner/Virus namens abnow.com eingefangen. Bin echt verzweifelt! Schreibe an dem Rechner gerade meine Dissertation. PC nur noch im Bluescreen.

Rechner: Laptop; Acer Aspire Timeline, I3,
System: Win7 64bit home premium
Hinweis:Kein CD-laufwerk vorhanden
wichtigsten Dateien teilweise per Dropbox gesichert

Alles ging schnell. beim googeln bin ich immer auf abnow.com gelandet. Erst nur Firefox, dann auch IE.

Habe dann den Hinweis auf eine Software gefunden. Endet auf "...Doctor" (grünes Icon in der Taskleiste). Installiert und laufen lassen. Hat in allen drei angezeigten Gebieten etwas gefunden. Das war jeweils mit "leichte Gefahrenstufe" gekennzeichnet. Beim Systemscan habe ich kurz auf Pause gedrückt. 2 Minuten später BlueScreen.

seither fährt sich der Rechner hoch. Passwort für Win eingeben. Kurze Ladezeit und wieder Bluescreen. Abgesicherter Modus ebenfalls.

Was kann und muss ich tun Leute? Meine Prioritäten:
Priorität 1 = Datensicherung (Dissertation, Mails/Outlook, sonstige Dateien)
Priorität 2 = System wieder zum laufen bringen.

Kann mir jemand von euch Könnern helfen? Was kann ich tun? Muss ich mir sorgen um Passwörter etc. machen (OnlineShopping, -Banking)?

Habt vielen vielen Danke für jede Art von Hinweis, Hilfe und und und... Wenn noch Infos notwendig sind, bitte sagen - ich werde mein bestes tun. Danke!

Grüße
Maggus

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Gruß,
PsYcHoTiC

Danke für deine schnelle Antwort! Das bringt mich schon mal ein wenig runter. Bin gerade fix und alle.

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Schritt 1: FRST


Downloade dir bitte Farbar's Recovery Scan Tool x64
und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Danke für die Anleitung. Ich habe versucht diese auszuführen. Der Code der Auswertung folgt unten. Einmal mehr ein großes DANKE vorab.

Folgendes kann ich für die Beschreibung ergänzen:

• Es sind bei mir nicht "Computerreperaturoptionen" erschienen, sondern "Systemwiederherstellungsoptionen". Die Eingabeaufforderung war in der Liste enthalten.
• Die frst.exe heißt tatsächlich frst64.exe.
• Der Scanvorgang wurde erst beim 2. Start ausgeführt.

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST64.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Guten morgen Marius,

Danke dir zu deiner Antwort gestern in später Stunde.

Nachfolgend der Code nach der Aktion Fixlist.txt


Vielen vielen Dank. Gruß und einen erfolgreichen Tag.
Maggus

Bekommst du immer noch bluescreens?

Hallo Marius!

hab die Kiste heruntergefahren und neu gestartet. Ergebnis: Bluescreen wenige Sekunden nach dem Login.

Danach gestartet im abgesicherten Modus. Ergebnis: Bluescreen nach ca.45-60 Sekunden. Das "Hilfe und Support von Microsoft" Fenster war vollständig geladen.

Erneut hochgefahren (regulär) und bei Login n i c h t angemeldet, sondern Button zum ordnungsgemäßen herunterfahren genutzt. Beim runterfahren wieder Bluescreen.

"Fehlersuche" oder Eingrenzung meinerseits...
Habe noch einmal die ersten Schritte von frst64.exe ausgeführt und folgendes gesehen! Nach der Auswahl der Sprache kommt ein Fenster, dass es mir ermöglicht einen Benutzer auszuwählen und ein Passwort anzugeben.

In diesem Feld steht einmal "HomeGroupUsers$" und einmal der Name, dem ich dem Gerät einmal verpasst habe. >>> Der Scan und Fix sind jeweils über den vergebenen Computernamen gelaufen. Das Passwort meines regulären Windows Login hatte ich hier jeweils angegeben. Korrekt?

Schließt sich die Frage an, ob ich Scan und ggf. Fix über "HomeGroupUsers$" laufen lassen soll/muss? Und, ob hier oder generell eine Passwortangabe erfoderlich ist?

Ein weiteres Mal herzlichen Dank Marius und dem Trojaner-Board-Team! :daumenhoc
Maggus

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hallo Marius!

Unten das Log. für den erneuten Fix von dir.

Erster Start nach dem erneuten frst64.exe-Fix, Windows im abgesicherten Modus: läuft! Es wird das Fenster angezeigt: "Win wird nach unerwartetem Herunterfahren wieder ausgeführt. ... kan online nach Lösung Suchen ..." Ich habe "später suchen" angeklickt, da keine Internetverbindung zustandekam.

Neustart ausgewählt...

Starten von Windows regulär: läuft!!! :party:

WLAN habe ich deaktiviert. Festplatte arbeitet kräftig und dauerhaft. Programme lassen sich öffnen (z.B. Outlook)


Damit wäre schon mal viel geschaft. Erneut ein großes Danke!!!

Wie ist es vernünftig weiter zu machen? Erst sichern mit der Gefahr den Trojaner/Virus mit zu ziehen? Oder erst den Schädling bekämpfen - vor allem wie.

Auch hier bin ich wieder auf deine Hiilfe angewiesen. Ich hoffe du kannst mich weiter unterstützen.

Grüße
Maggus

Hallo maggus2012,

du hast dir eine sehr hartnäckige Variante des ZeroAccess-Rootkits eingefangen. Arbeite weiter mit, um den Rechner vollständig sauber zu bekommen.


Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Marius!

Nächster Schritt geschaft.

Nachfolgend die log von ComboFix. Warte auf deine nächsten Instruktionen.

Erneut Danke und Gruß Maggus2012

Schritt 1: MBAM


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


Schritt 3: DDS

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Schritt 4: Farbar´s Service Scanner



Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo Marius!

anbei sende ich dir die Log-Files. Vor den Logfiles ggf. noch Anmerkungen.

MBAM
Nach dem Quick Scan kam direkt das Logfile. "markieren" und anzeigen "aller Ergebnise" konnte ich nirgends auswählen. Hängt vermutlich damit zusammen, dass keine Treffer vorhanden waren.

aswMBR

DDS.txt

DDS-Attach.txt

Farbar´s Service Scanner

---------------------------------------------

Hallo Marius,
ist dabei, hab ich nachträglich hinzugefügt. Danke Gruß

CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hallo Marius,

wahnsinn was Ihr hier durchzieht! Sensationell.

Hier also das Log von der erneuten Anwendung von Combofix zusammen mit CFScript.txt.

Schritt 1: CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Schritt 2: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


Schritt 3: MBAM

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 4: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen Marius!

Deine Aufgabenliste habe ich wieder abgearbeitet. Nachfolgend die Logs

Hinweis: Nach dem Scanen mit ESET und nachdem ich ESET lt. Anleitung geschlossen habe, kam ein Fenster zum Vorschein. Windows-Meldung. Programm (ESET) nicht richtig installiert. Noch einmal installieren und scannen?

CF-Script

aswMBR

MBAM

ESET

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hallo Marius!

Nachfolgend das Fixlog zu FRST64.exe
Da bin ich mal gespannt wie es weitergeht. Danke und schönen Samstagabend.

Gruß
Maggus

Hallo maggus,

fein! Dann machen wir mal weiter!



Schritt 1: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.



Schritt 2: MBAM

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3: ESET


Drücke die Windows- und die R-Taste gleichzeitig.
Schreibe folgendes in die Textbox:

Klicke OK und erstelle mit dem sich öffnenden ESET-Scanner wie gehabt ein Log (und poste es bitte wieder hier!)

Gruß

Hallo Marius!

So, nachfolgend die nächsten Logfiles.

Dir einen schönen Sonntag Abend bzw. einen guten Start in die neue Woche.

Gruß
Maggus

aswMBR

MBAM

ESET

Mach noch folgendes:

Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 30 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Macht der Rechner noch Probleme?

Hallo Marius,

Die Schädlinge sind als soweit runter vom Rechner, oder?

Frage zu Java - Systemsteuerung:
Java habe ich geladen und installiert. In der Systemsteuerung ist das geladene das älteste (V6 Update 31). Denn es ist eine V7 Update 1 enthalten (Install im Nov. 2011) Welche soll ich denn da lassen.

Frage zu Java-Update:
Nach dem java Update, aber vor Neustart des Rechners wollte der Firefox eine Aktualisierung durchführen (Plugin). Hab ich gemacht, da es in direktem Zusammenhang mit der Java Installation vorher war. In den Plugins des Firefox ist jetzt eine "Java Plattform SE 6 U31" sichtbar. Korrekt?

Zum Rechner an sich...
Rechner läuft stabil. Während der ganzen Scans kam 2-3x ein Fenster mit einer Servermeldung. Die letzten 3 Tage aber nicht mehr.

Zwei Masterfragen

• Wo habe ich mir den Mist aller Wahrscheinlichkeit nach eingefangen?
• Was sollte ich machen, damit mein Rechner nicht übertrieben, aber vernünftig abgesichert ist.

Die letzte uneingeschränkt freigegebene Version ist tatsächlich die 6 Update 31. Version 7 Update 1 kann zwar ebenfalls geladen werden, ist aber noch nicht zu 100% auf Kompatibilität getestet worden und ist daher noch nicht "offiziell". Du musst selbst entscheiden, welche Version du behalten willst.

:daumenhoc

• Kann man nicht mit Sicherheit sagen - die Möglichkeiten sind heutzutage breit gefächert. Allerdings stellen manche Gegebenheiten "Scheunentore" dar, welche es der Malware einfach machen. Dazu zählen unter anderem veraltete Software (allen voran Java, Adobe Reader, Flash Player), ein veraltetes Windows (Stichwort: Windows Updates) sowie das Surfen mit Administratorrechten (unter windows leider Standard).
  
  
  Zitat:

  Was sollte ich machen, damit mein Rechner nicht übertrieben, aber vernünftig abgesichert ist.

Dazu kommen wir jetzt. ;)


Prima - die Logfiles sind sauber! :daumenhoc

Lass uns nun noch ein wenig aufräumen!


Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button


ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Was sonst noch an Dateien und Ordnern während der Bereinigung erstellt wurde, kannst du ohne weiteres löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

• Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
  Eine Auswahl kostenloser Antivirenprogramme:

• AVG Free Anti-Virus
• Avast! Free Anti-Virus
• Microsoft Security Essentials
  Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hallo marius!
Jetzt stehe ich gerade auf dem Schlauch! Hatten wir da ein Programm? Finde ich nicht in deinen Beiträgen.

Danke Gruß

Hallo maggus,

da hast du natürlich Recht - mein Fehler! :D
Vergiss das mit defogger, der kam bei dir aufgrund des Bedrohungsbilds nicht zum Einsatz.

Weiter in der Liste!

Gruß

Hallo Marius,

noch was. Erfindet ComboFix nicht mit dem Befehl:
Es kommt: "Konnte nicht gefunden werden". Sollte das in Systemsteuerung-Programme auch zu finden sein (Ist nicht der Fall!)? Was kann ich tun?

Danke, Gruß
Markus

Liegt combofix auch auf dem Desktop oder woanders?
Wenn woanders: Benenne es einfach in uninstall.exe um und führe es aus - Effekt ist derselbe!

AH! Ok. Passt. Hatte Combofix in einen anderen Ordner auf dem Desktop verschoben. http://www.trojaner-board.de/images/smilies/stirn.gif Danke.

Dann denke ich, soweit läuft alles. Secunia habe ich mir gezogen und auch die Firefox-Plugins. Bei zukünftigen Updates von java, Adobe Flash/Reader etc. werde ich das automatische Update bzw. Erinnerung nicht nutzen, sondern das Update immer von deren Webseite laden.

Richte mir neben dem Admin noch einen 2. User auf dem Rechner ein mit dem ich mein "Tagesgeschäft" erledige, der aber keine Admin-Rechte hat. Sollte auch einiges einschränken.

Mailwarebytes ist installiert.

Virenkiller sehe ich mich noch ein wenig um.

Ich werden den Rechner die nächsten zwei Tage ordentlich nutzen, Daten sichern und weiter absichern. Sollte nichts mehr nachkommen, gebe ich dir dann in zwei Tagen bescheid, damit du das hier als "erledigt" markieren kannst.

Ich danke dir Marius und allen im Hintergrund des Trojaner-Boards für die grandiose Unterstützung! Einfach Klasse! http://www.trojaner-board.de/images/...daumenhoch.gif

Grüße
Maggus2012

Schön, dass wir helfen konnten! :abklatsch:

Hallo Marius!

Danke die ganze Hilfe hier. Der Rechner läuft stabil! Aber... Eine Sache funktioniert gerade nicht. Ob das mit dem Trojaner/Wurm und ganzen Scans zum fixen zusammenhängt, kann nicht sagen. Da wirst du deutlich mehr Erfahrung haben.

Worum es geht!
Ich kann nur noch eingeschränkt WindowsUpdates durchführen. Das Update für den Windows Defender (KB915597, Definition 1.121.966.0) ist davon betroffen. Es wird von Windows als wichtiges Updaten angesehen. Das Update wurde gestern von Microsoft veröffentlicht.

Es wird der Fehler 8007007E ausgegeben. Dazu steht noch "Unbekannter Fehler bei Windows Update". Bei Klick auf "Hilfe zu diesem Fehler" erscheint der Fehlercode nicht in der Liste.

Zur gleichen Zeit wurde ein weiteres, optionales Update vorgeschlagen. Das konnte installiert werden.

Danke für deine Einschätzung.
Gruß
Markus

Hallo maggus2012,

setze bitte einmal per Microsoft FixIt die Windows Updates zurück und versuche es (nach einem Neustart des Rechners) erneut.

Lade dir die Datei herunter und speichere sie auf dem Desktop.
Starte die .msi-Datei und folge den Anweisungen auf dem Bildschirm.

Wenn du danch gefragt wirst, wähle den Standard-Modus.


Berichte!

Hallo Marius!

Fixit ist schnell durchgelaufen. Hat keine Minute gedauert. Es wurde keine Meldungen etc. ausgegeben. Neustart ohne Probleme. Danach versucht das Update zu installieren. Identische Fehlermeldung/Fehlercode wie geschildert.

Bei "Fix it" habe ich die Option "weitreichende Optionen" NICHT ausgewählt.

Gerade gesehen: Bei der versuchten Installation des Update konnte der Systemwiederherstellungszeitpunkt erstellt werden. Die eigentliche Installation wird nach ca. 30 Sekunden mit der Fehlermeldung abgebrochen.

Gruß
Maggus

Hallo maggus2012,

irgendwo in den Windows Updates ist der Wurm drin!

Versuche mal folgenden Link:

Öffnen der Windows Update-Problembehandlung


Berichte!

Hallo Marius,

danke für den weiteren Hinweis. Habe ich wie beschrieben ausgeführt. Einmal auf direktem Weg und einmal unter "Erweitert" als "Administrator".

Danach kommt ein Fenster das die "Onlinesuche geklappt hat" und bei Klick auf "weiter" kommt dann "Das Problem konnte von der Problembehandlung nicht identifiziert werden".

Habe dennoch versucht das Update erneut zu laden (was gelingt) und zu installieren (was mit bekanntem Fehlercode nicht klappt).

Hast du noch eine Idee?

Frage: Sofern sich das mit den Updates nur auf den Defender beschränkt... (was noch nicht eindeutig ist)... dann schalte ich den halt ab und greife auf andere, "identische" Lösungen zurück. Denkbar?


Gruß
Maggus

Das beschränkt sich derzeit auf den Defender...aber lösen lassen müsste es sich!

Versuche folgendes:

• Lade dir die neuesten Defender-Definitionen von hier herunter und speichere die Datei auf dem Desktop.
• Starte die mpas-fex64.exe per Rechtsklick-->Als Administrator ausführen.
• Folge den Anweisungen auf dem Bildschirm.
• Starte den Rechner neu und suche erneut nach Updates.
• Berichte!

Hallo Marius,

Danke für den Lösungsvorschlag.

Ausgeführt wie beschrieben. Beim Start vom Desktop als Admin Öffnet sich kurz ein Fenster (sehr klein). Es ist einen Fortschritsbalken in blau zu sehen. In einem Dateipfad ist am Ende etwas von dll zu lesen. nach 1 Sekunde ist das Fenster weg und es passiert nichts mehr. Es kommen keine Anweisungen.

Habe danach den Rechner heruntergefahren und versucht das Update zu installieren. Es kommt wieder der Fehler wie gehabt.

Gruß
Maggus

Ich verweise dich an unser Forum für Windows-Fragen.
Erstelle dort ein Thema - beachte allerdings, dass auch dort Hinweise bei der Eröffnung eines neuen Themas zu beachten sind! ;)

Hallo Marius!

Ich danke dir für deine Mühen. :daumenhoc

Schließe die Diskussion hier gerne als erledigt.

Herzlichen Gruß
Maggus2012

Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!