DHL-Verfolgung - e-Mail Trojaner - Windows 7 Schwer Befallen
 

Guten Abend,

ich habe heute Nachmittag den "DHL-inc" Anhang über Yahoo Mail geöffnet - nun ist mein PC schwer von einem oder mehreren Trojanern befallen. Ich habe erst nach ca. 5-10 Minuten gemerkt was Sache ist, und daher erst dann die Internetverbindung gekappt.

Ordner zeigten keine Dateien mehr an und es kam ca. 15 mal die Fehlermeldung: ("System message - Write Fault Error - The system generates an exeption error when using a reference to an invalid system memory adress"): Außerdem startete ein Pseudo-Antivirenprogramm namens "S.M.A.R.T.".

Anfangs konnte ich noch von einem USB-Stick aus Programme installieren. Nachdem ich mich auf diversen Seiten informiert habe, habe ich einen CCleaner-, einen Malwarebytes- und einen Norman Malware Cleaner Vorgang durchgeführt. Malwarebytes hat vier Trojanerdatein gefunden und gelöscht, auf deren Namen ich jetzt nicht mehr zugreifen kann. Nach dem reboot war jedoch keine Besserung zu sehen, im Gegenteil habe ich (auch im abgesicherten Modus) nun bis auf den Papierkorb keine Desktopsymbole mehr und ich kann Malwarebytes nicht mehr vom USB stick installieren.

Allerdings sehe ich noch, dass Microsoft Security Essentials einen Downloadtrojaner, einen "JavaByteVerify" Exploit und einen "TrojanDownloaderWin32/Harnig.S" in die Quarantäne verschieben konnte.

Wie soll ich vorgehen? Ich habe nun große Bedenken den USB-Stick aus dem infizierten Desktop PC wieder an mein Netbook anzuschließen um die logfile exe's rüberzuziehen, ins Internet möchte ich ja vom PC aus möglichst auch nicht.

Ich bitte um Nachsicht bei eventuellen Fehlern und Verstößen, das ist sowohl mein erster Trojanerbefall als auch mein erster Foreneintrag.

Vielen Dank im Voraus,

Jan

Wieso sollst du da nicht mehr drauf zugreifen können?
Malwarebytes speichert alle Logfiles im Reiter Logdateien ab

Ich weiß aber nicht wie ich überhaupt erstmal auf irgendwelche Dateien zugreifen kann - der/die Trojaner haben ja wiegesagt alle Dateien verborgen ("Dieser [jeder] Ordner ist leer")

Aber du kannst Malwarebytes ja offensichtlich starten
Und da wurde dir gesagt wie du von Malwarebytes aus an die Logs kommst

Ich habe geschrieben dass ich Malwarebytes anfangs noch installieren/starten konnte - nun geht's leider nicht mehr, weiß gott wieso. CCleaner und Microsoft Security Essentials gehen z.B. noch.

Naja "nicht installieren" meintest du :wtf:

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Da auf dem PC keine Dateien mehr sichtbar sind, kann ich keine Programme starten die ich nicht gerade vorher mit dem USB-stick installiert habe.

Okay, danke für das Programm! Bleibt aber noch die Frage wie ich es auf den PC bekomme - ich möchte wiegesagt ja nicht mehr ins Internet und auch mein Netbook nicht per USB - Stick infizieren. Oder ist das keine große Gefahr? Ich habe auf dem Netbook wichtige Dateien (meine BA-Arbeit) und kann egtl. nicht riskieren, dass die Trojaner sich auch dort ausbreiten.

Wenn du weder ins Internet mit dem Teil willst noch per USB-Stick was draufpacken willst, muss das System so bleiben wie es ist :lach:

Spaß beiseite - ein "infizierter Stick" ist eigentlich nur deswegen gefährlich weil unter Windows bescheuerterweise die automatische Wiedergabe immer an ist :headbang:


Automatische Wiedergabe deaktivieren

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

okay, vielen Dank für die Hilfe soweit! Ich werde jetzt aber erstmal ein paar Tage außer Haus sein, ich hoffe es ist okay wenn ich den thread dann später weiterführe?

Ja ist ok, antworte hier einfach in diesem Strang wieder

Der defogger / "unhide.exe" funktioniert leider auch nicht. Es sind weder Desktopsymbole sichtbar geworden, noch kann ich über Start auf den PC und die Dateien auf der Festplatte zugreifen.
Die logfile des defoggers besagt: "Parsing file... Unable to delete defogger file (32) -=E.O.F.=-"

Auch wenn es unheimlich ärgerlich ist, wäre es bei diesem fortgeschrittenem Stadium nicht einfacher den PC neu aufzusetzen? Welche Möglichkeiten gäbe es, die Datein von der Festplatte auf eine externe zu retten, ohne auch diese bzw. den neu aufgesetzten zu gefährden?

Edit: Habe leider keine Backup-DVD für den PC gebrannt, geht das neu-aufsetzen auch ohne?

Siehe Windows 7 – Home Premium und Professional Direkt Download Links

Dortige Hinweise beachten!!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Vielen Dank für die ausführliche Beschreibung!

Eine kleine Unklarheit besteht noch: Da bei meinem PC Windows 7 bereits vor Auslieferung installiert war, habe ich keine volle Windows Installations-DVD. Es lag jedoch eine DVD bei, die mit "Windows 7 Recovery Media for Windows 7 Products", "Externe Wiederherstellungsmedien Datenträger 1 von 1" und "Dieser Datenträger enthält nur 64-bit Software" bedruckt ist. Ist diese ein ausreichendes Equivalent zur vollen Installations-DVD? Den Original Key hab ich auf dem Win7 booklet noch zur Verfügung.

Deswegen hab ich ja oben etwas verlinkt :rolleyes:

Nein, ein Recoverymedium ist keine vollwertige Windows-Installations-DVD!
Du kannst mit dieser DVD "nur" den Ursprungszustand des Rechners wiederherstellen. Dann sind die unnötigen Programme wie Testversionen etc. mit wieder drauf

Ich habe nachgefragt, da ich mir den 3 GB download sowie das kaufen eines DVD-Rohling-Packs sparen wollte. Wenn der einzige Nachteil der mitgelieferten Recovery-DVD die Gratis-Testprogramme sind, kann ich die in wenigen Minuten einfach deinstallieren (soweit ich mich erinnere waren das höchstens 3 stück).
Weshalb ist die Recovery dann keine "Vollwertige" DVD? Nach ihrer Beschreibung wäre sie doch ausreichend, nur mit nervigen testversionen verbunden.