System Check Virus - Verknüpfungen weg!
 

Hallo,

ich hatte vor ein paar Tagen den "System Check Virus" auf meinem PC. Alle Desktopsymbole waren verschwunden. Ich habe es dann mit dem Sicherheitsmodus irgendwie geschafft, den Virus zu entfernen. Auch die Desktopsymbole sind wieder da.
Allerdings sind alle Programme im Bereich Windowstaste-> Alle Programme verschwunden. Es sind nur noch leere Ordner. Gleiches Problem, wenn ich auf C: klicke und die Programme manuell öffnen will. Sie sind nicht da. Wenn ich nun aber z.B. eine PDF öffne oder ein .docx Dokument, funktioniert es. Kann mir vielleicht jemand helfen?

Hier mal das Malwarebytes LOG fon kurz nach der "Bereinigung":
Vollständiger Suchlauf kurz danach:

Vielen Dank!

Habe gerade auch einen ESET Scan gemacht:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=dcfba92e6655b24c8e9eafbd16580a98
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-27 05:32:09
# local_time=2012-03-27 07:32:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 12597693 12597693 0 0
# compatibility_mode=5893 16776573 100 94 24518 84490471 0 0
# compatibility_mode=8192 67108863 100 0 142 142 0 0
# scanned=156474
# found=0
# cleaned=0
# scan_time=8907

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Eigentlich sollte unhide die Verküpfungen selbst zurück an die richtige Stelle kopieren. Wenn nicht, mach es selbst.

Deine Verknüpfungen sollten jetzt hier sein: (lass dir vorher alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html )

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp

Sie müssen passend nach

C:\ProgramData\Microsoft\Windows\Start Menu\Programs

kopiert werden.

Vielen Dank, das hat sehr gut geklappt.

Seit dem Virus habe ich zudem auf einige Dateien keinen Zugriff mehr, obwohl ich an den Sicherheitseinstellungen nichts geändert habe. Ich habe mal Screenshots angehängt: alle Ordner mit einem Schloss und alle Ordner mit einem Verknüpfungssymbol kann ich nicht öffnen. Weißt du, wie man das ändert?

Das ist Absicht so, seit Vista hat man diese Verknüpfungen die nicht betretbar sind!
=> später wenn wir durch sind umgekehrt vorgehen, also geschützte Systemdateien ausblenden aktivieren! => http://www.trojaner-board.de/59624-a...-sichtbar.html


Die Verknüpfungen im Startmenü sind wieder alle soweit da?

Ja, das Startmenü ist wieder so wie vorher. Lediglich der Ordner "Zubehör" ist weg, dafür habe ich jetzt den Ordner "Accessories", in dem die üblichen Programme drin sind (Rechner, Notepad, Snipping Tool, usw). Aber das stört ich nicht.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hier sind alle Logs:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Sehr gerne:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Was hast du da schon mit dem TDSS-Killer gemacht?! Wo ist das Log dazu?

Den habe ich mir nach dem Befall runtergeladen und gescannt. Hier ist das Log:

edit: Hmm, das Log stimmt wohl nicht. Wo finde ich den die alten Logs? Ob ich den nun vor oder nach dem Befall runtergeladen habe...

Die liegen normalerweise direkt auf C:

Danke, hab sie gefunden:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix Logfile:
--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo, zuerst erschien eine Fehlermeldung, habe dann unten links ("none") ausgewählt, dann ging es. Hier der Log:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-03 15:46:10
-----------------------------
15:46:10.571 OS Version: Windows x64 6.1.7601 Service Pack 1
15:46:10.571 Number of processors: 4 586 0x2502
15:46:10.587 ComputerName: SONYVAIO UserName:
15:46:11.538 Initialize success
15:46:15.782 AVAST engine defs: 12040301
15:46:27.435 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
15:46:27.435 Disk 0 Vendor: Hitachi_ PB3O Size: 305245MB BusType: 3
15:46:27.450 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000069
15:46:27.450 Disk 1 Vendor: RICOH 02 Size: 305245MB BusType: 0
15:46:27.450 Disk 2 \Device\Harddisk2\DR2 -> \Device\0000006a
15:46:27.450 Disk 2 Vendor: RICOH 02 Size: 305245MB BusType: 0
15:46:27.497 Disk 0 MBR read successfully
15:46:27.497 Disk 0 MBR scan
15:46:27.513 Disk 0 Windows 7 default MBR code
15:46:27.544 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 10045 MB offset 2048
15:46:27.560 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 20574208
15:46:27.575 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 165160 MB offset 20779008
15:46:27.591 Disk 0 Partition - 00 0F Extended LBA 129937 MB offset 359028736
15:46:27.622 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 129936 MB offset 359030784
15:46:27.684 Disk 0 scanning C:\Windows\system32\drivers
15:46:40.352 Service scanning
15:47:13.096 Modules scanning
15:47:13.096 Disk 0 trace - called modules:
15:47:13.143 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll
15:47:13.159 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800672c060]
15:47:13.159 3 CLASSPNP.SYS[fffff88001ba043f] -> nt!IofCallDriver -> [0xfffffa80046fe530]
15:47:13.174 5 ACPI.sys[fffff88000d6f7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004704050]
15:47:13.174 Scan finished successfully
15:49:09.129 Disk 0 MBR has been saved successfully to "C:\Users\jimmythebob\Desktop\MBR.dat"
15:49:09.129 The log file has been saved successfully to "C:\Users\jimmythebob\Desktop\aswMBR.txt"

Die Logs sollen in CODE-Tags gepostet werden!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Das letzte Log war kein Log von Malwarebytes

Sorry, da hab ich mich wohl irgendwie verklickt. Das hier müsste das richtige sein:

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Es ist wieder alles in Ordnung, vielen Dank für deine Hilfe!!!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.