Wie kann ich Stuxnet (Version 17.6.2011) entfernen?
 

Hallo,

habe mir wohl eine neue Version von Stuxnet eingefangen, die StuxnetRemover erkannte. Die Software zur Überprüfung habe ich auf freeware.de heruntergeladen.

Ergebnis: Stuxnet wurde gefunden: "Stuxnet Rootkit Detected." steht oben im Fenster. Ich hatte mit dem Programm alle angeschlossenen USB-Sticks gestern überprüft. Zu meinem Glück war "nur" der Stick mit dem kleinsten Speicherplatz (4 GB) betroffen, die größeren Sticks hat es nicht erwischt. Aber: Stuxnet wurde NICHT vom Programm entfernt vom Stick!!! Das System, was ich benutze, wurde als "Clean" eingestuft.

Hier Infos zu der Autorun-Datei aus den Systemeigenschaften:
- Dateiname: autorun.inf
- Dateityp: Setup-Informationen
- Attribut: HSX
- Erstellungsdatum: 17.6.2011; 15:53:52 Uhr
- Änderungsdatum: 17.6.2011; 15:53:53 Uhr
- Letzter Zugriff: 17.6.2011

Hier Systeminfo:
OS: Windows 7 Home Premium, 64-bit, OEM-Version

Da ich ein 64bit-System besitze, dass ich auch bis einschließlich heute (!) regelmäßig gepatcht (Secunia PSI) und upgedatet habe und auch regelmäßig Antivirusscans gemacht habe, sogar Firewalls (ZoneAlarm Free; ThreatFire Free Version etc. sowie IP-Firewall Peerblock) und Linkscanner sowie Free-Version von AVG nutze ich. Das AVG hätte DEN doch erkennen müssen?! Findet aber NIE etwas von dem Ding... Merkwürdig...

In welchem Modus muss ich den Scan nach dem Stuxnet nun ausführen und vor allem: welche eurer Programme eignen sich für den Scan mit 64-bit-Systemen? GMER geht da bekanntlich net und die "Sicher Surfen - CD" schreit mir zum Himmel nach noch mehr Malware-Infektionen verursacht durch eine frühe, absolut illegale, Version des ECHTEN Bundestrojaners.

Bitte empfehlt mir auch, welche Programme da WIRKLICH Abhilfe schaffen.
Auch, welche Methoden WIRKLICH geeignet sind, die eine Neuinfizierung mit Stuxnet ausschließen können. Nennt mir bitte auch Webseiten, über die Stuxnet aktuell verbreitet wird, so kann ich sie sperren...

Ich weiß persönlich nicht mal, wie das Ding auf den PC kommen konnte, denn zu dieser Zeit war ich nachweislich in klinischer Behandlung und hatte keinen (!) Zugang zu irgendeinem PC auf der Welt.

MfG Nicky343

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
► Was hat dich eigentlich dazu veranlasst, das Tool zu installieren? wie kommst du auf dieses Ergebnis? Welche Symptome zeigen, dass dein Computer infiziert ist?

installierst Du gerne unnötig "zu viel" (Schutzsoftware), damit Du dich sicher fühlen kannst? Um so mehr Programme auf dem PC sind, umso mehr Probleme treten auf, noch dazu dein Rechner nicht "nochmehr" geschützt, nämlich 100%ige Sicherheit gibt`s nicht!

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner - Installer herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Hallo, leider bringt der Scan mit OTL nix (Programm reagiert nicht). Ich hatte auf einem eingeschränkten Nutzerkonto das Programm gestartet, es kackt aber laufend ab bzw. bleibt hängen (keine Rückmeldung). Und das trotz Ausführung als Admin...
Soll ich stattdessen mit HijackThis scannen?
Außerdem bekommt ihr nach dem grundlegenden Scan noch das Log vom CCleaner.

Hier ein CCleaner-Install-Log von mir
Hier noch Erklärung zu Stuxnetremover:
Ich hatte das Programm installiert, da GMER auf 64-bit-Systemen wirkungslos ist. Das Programm sollte kontrollieren, ob ich Stuxnet draufhabe, ich habe nämlich null Bock auf Polizeibesuch wegen Einbindung meines Rechners in Botnetze, wozu Stuxnet dazu zählt.
Ich bin Netzwerkadmin und kann es mir nicht leisten, dass etwaige Malware auf dem System landet. (Und deswegen lehne ich auch die Nutzung der Antibot-CD von der Computerbild grundsätzlich ab.)

Hier noch die Symptombeschreibung:
Die im vorhergehenden Beitrag geschilderte Datei war das EINZIGE Indiz, dass der Trojaner drauf sein kann. Gefunden hatte ich sie aber zunächst NICHT mit Stuxnetremover, sondern mit Multifind. Hatte da einfach "autorun.inf" eingegeben.
Diese Datei lässt sich nicht ausführen, was mir Windows in einer Fehlermeldung anzeigt, die besagt, ich hätte keine Rechte, auf die Datei zuzugreifen und solle mich an den Systemadmin wenden. Das habe ich getan (also Adminkonto und dann Eigenschaften) und vorher habe ich versucht, per Unlocker zu checken, warum sich die Datei nicht löschen lässt - mit dem Ergebnis, dass selbst Unlocker mir die Löschung der Datei verweigerte.

Und: selbst aktuell gehaltene Virenscanner (und ich führe täglich Updates der Virendefinitionen durch) finden bekanntlich nicht alles. Da es sich um eine Free Version handelt, habe ich mir noch Threatfire genommen. Ergebnis: Stuxnet auch wieder nicht gefunden... :-(

Und bitte nennt mir Gott verdammt nochmal den Modus, in dem ich Windows zu starten habe, um nach Malware zu scannen!
Was muss ich bei HijackThis beachten?

MfG Nicky343

starte bitte das OTL im abgesicherten Modus!:
♦ PC neu starten
♦ Drücke bevor das Windows-Logo erscheint, mehrmals die F8-Taste.
♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus.

Neue Symptomatik nach Starten im abgesicherten Modus:
- OTL-Scan bleibt bei Treiber zu UMTS-Stick hängen
- OTL reagiert nicht weiter
- muss OTL mit Taskmanager killen

Weiß jemand Rat, jetzt, wo OTL klein bei gibt?

MfG Nicky343

► um eventuelle technische probleme zu vermeiden, schalte alle Anwendungen/Programme ab, die möglicherweise die Bereinigung negativ beeinflussen können (deaktivieren!) Antivirenprogramm und Firewall nicht abschalten!!:

1.
deinstalliere:
2.
benötigst unbedingt? wenn nicht deinstalliere:
3.
würde auch deinstallieren:
hast Du noch immer Defraggler, Ashampoo WinOptimizer und CCleaner, sollen doch ausreichen!

4.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
versuche das OTL erneut ausführen (sowohl im normalen als auch im abgesicherten Modus)

Gut, ich werde mal gucken, was sich entfernen ließe.
Danach sende ich noch mal neu HJT und CC zu.
OTL muss ich gucken, wie es funzt und wenn ja, werde ich die Logs senden (als Code und mit Entfernung von Links und Klarnamen).
Nachfrage zu Klarnamen: Ich habe drei Nutzerkonten und ein Gästekonto.
Ich habe hierfür immer nur einen Personennamenbestandteil verwendet (nur Vorname bzw. Spitzname) und bei einem dritten Nutzerkonto KEINE Personennamen verwendet (das Konto nennt sich Freund_Gast_Familie oder so ähnlich). Muss ich in dem Fall auch den Klarnamen entfernen oder was muss ich noch beachten (schließlich handelt es sich um meinen privaten Computer)?

MfG Nicky343

Du sollst bitte garnix entfernen, sondern:
gehe wie folgt vor - Dein Hauptkonto mit Administrativen Rechten verwenden!:
1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
versuche erneut mit OTL:
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

So, ich hab mal die Logs erledigt. Nur leider stellt sich selbst nach Defogger noch immer der OTL quer. Ich bereite mich schon mal seelisch und moralisch aufs Neuaufsetzen vor...

... aber bevor ich das mache, habe ich noch einige Fragen:
1) mit welchen Tools kann ich möglichst ohne mein installiertes Betriebssystem zu nutzen Backups von mir wichtigen Daten erstellen (bitte KEINE Windows-Programme, denn dieses OS ist bereits infiziert!)?
2) mit welchen Tipps und Tricks kann ich einen Neubefall vermeiden, angeblich soll ja Spybot S&D gar nicht mehr so gut sein...
3) zu welchem OS würdet ihr mir perspektivisch fürs Surfen raten? Das OS MUSS aber eine japanische Spracheingabe unterstützen, sonst kann ich keine ILIAS-Tests machen!
4) welche Treiber sind bei Win7 automatisch dabei und welche müsste ich nachrüsten (z. B. für Drucker, Handy etc.)?

Außerdem: neue Auffälligkeiten: beim Scannen ist es mir passiert, dass ich einen Bluescreen hatte (Kernel-Data Inpage Error), passiert leider auch bei Updates oder wenn ich euch schreibe!

MfG Nicky343

das kann ich Dir auf jeden Fall empfehlen..Danach von dein neu aufgesetzten System ein sauberes Image gleich erstellen! Wenn etwas wieder schief geht, somit ersparst Du dir den die umständige Prozedur!

Ein Image momentan ist weniger sinnvoll, weil Du ja einiges mehr mitsichern könntest als Dir lieb ist;)
Tipps & Rat:

Meine Empfehlung lautet unabhängig davon, ob da ein schwerer Malware-Befall vorliegt oder nicht:
Datensicherung - Nur auf die nicht verzichten kannst:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!

die Sicherung wieder zurückspielen:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten
- extern gesicherte Daten-Datenträger anschließen, gründlich scannen lassen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

mit Spybot stimmt ja, allerdings 100%ige Sicherheit gibt`s nicht. Die Zeiten für PC-Nutzer sind härter geworden, da die "Virenprogrammierer" fast täglich produzieren hunderttausende neue Viren und sind immer einen großen Schritt voran:
dazu kann ich nicht sagen, stelle deine frage im passendem Unterforum und dir wird bestimmt geholfen :)

kommt drauf an, welche Treiber mit der Original-CD installiert sind
bei Win7 soviel ich weiß, die aktuelle sind dabei. ansonsten auf der Website des Herstellers gehen und nach "Treiber" ("driver"), "Downloads" oder etwas Ähnlichem suchen