Trojan.Generic.KDV.182338 (B)
 

Problem:
Diverse Sites ließen sich in Chrome nicht mehr aufrufen. Neustart des T-Online Routers. Keine Besserung. Scan mit Emsisoft Anti-Malware nach manueller Virenlistenaktualisierung am 10.11.2012 – Fund: Trojan.Generic.KDV.182338 (B)

Beschreibung wie es dazu kam:
Ehemals Win7 Pro System mit div. Programmen auf c:
Neuinstallation Win 7 Pro auf F: und update mit Win 8 pro
Über Bootmenu wird überlicherweise die Win 8 pro Installation aufgerufen.
Chrome und Addons, kein Sandboxie (ich bin dumm und faul). Secunia und FileHippo werden bei Systemstart geladen. Letzte Aktualisierung nach Hinweis durch Secunia, war eine manuelle Installation von Adobe Flash Player, dabei InstallDatei von web-Site manuell geladen und ausgeführt.



unternommene Schritte:

Defogger -> Disable -> o.k. -> kein Neustart erforderlich.

OTL-Download und Ausführung.

ScanErgenis Emsisoft:




Nun bitte ich um Hilfe bei der weiteren Vorgehensweise. Den Rechner nutze ich auch fürs OnlineBanking. Das Internet läuft heute Vormittag schnell und problemlos wie gewohnt.

Grüsse
verrant

Edith: asvMBR.exe versucht. AVAST-VirenlistenDownload erlaubt. Sowohl Scan als auch QuickScan brechen mit einer Windows-Fehlermeldung ab (*... funktioniert nicht mehr.) . War ein Versuch, es gab keinen bestimmten Anlass. Info als Info dazu gestellt. /Edith aus.

Hallo,

Was für eine Datei soll das sein? Quelle?
Die liegt auf deinem Desktop, du musst du selbst da abgelegt haben!

Moin Moin.

Hab den Rechner mit Win 7 gestartet. Dort liegt auf dem Desktop keine solche Datei.

Ich habe auch versucht die Datei aus www.virusttotal.com untersuchen zu lassen. Dazu Datei wiederhergestellt und manuell erneut in Quarantäne genommen. Weder über die Dateibrowser-Funktion der Site noch durch Ziehen der Datei, war es möglich diese dort "einzuladen". Die Datei tauchte gar nicht erst in dem Fenster der Site auf.

Ich kann mich an die Datei nicht erinnern.

Der Dateiexplorer unter Win7 zeigt diese Datei nicht an. Ebenfalls fehlt diese Datei in der Anzeige des TotalCommander 64 bit.

Als Einzige *.dat Datei auf dem Desktop hab ich diese SAMSUNG_USB_Driver_for_Mobile_Phones.exe.dat
gefunden. Aber die Dateigröße passt nicht.

Falscher Ergeiz, um die Frage der Eigenen Datei beantworten zu können:

Datei wiederhergestellt um zu sehen, was auf dem Desktop dazu kommt. Nix.
Auch manuell nicht im alten Pfad wiedergefunden. Über Neuscan Datei wiedergefunden und erneut in Quarantäne genommen.

Edith: Java in den Einstellungen erlaubt. Damit ist die folgende Info gegenstandslos: /Edith aus

Den Befehl für das "Textfenster" konnte ich nicht über die Menuleiste aktivieren. Manuell eingegeben. Auch in einem anderen Forum, sind auf diesem Rechner die Menu-Button funktionslos.

Grüsse
verrant

Oh welch Wunder :blabla:
Natürlich bezieht sich der Fund auf dem Desktop auf dem Windows, mit dem du auch gescannt hast, ist doch wohl naheliegend oder
Kannst du dich bitte entscheiden, welches Windows hier untersucht werden soll? Logs von zwei verschiedenen Betriebssystemen machen einfach keinen Sinn und enden im Chaos :killpc:

o.k.

Win 8 also. Wohnt auf f:
Hatte im Desktop keinerlei solche Datei. Kann mich auch hier nicht erinnern das ich eine solche erstellt oder bewusst Gespeichert habe.


Grüsse
verrant

Was in die Q verschoben wurde, kann ja auch nicht mehr am Ursprungsort sein :lach:

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

runtergeladen. Mit und ohne Virenscaner laufen lassen. Dabei jeweils mit und ohne Option im PulldownMenu. Mit und ohne Haken bei "Trace disk IO calls"
Jedesmal Windows Fehlermeldung.

Tool geladen, Tool Einstellungen vorgenommen, ausgeführt: Keine Funde.

gruss
verrant

aswMBR bitte im abgesicherten Modus nochmal probieren
Und die Logs sind immer zu posten, auch wenn keine Funde dabei sind

abgesicherter Modus:

Programm aufgerufen, wg. Fehlermeldung erneut gestartet. Dann Möglichkeit für Log-File.txt speichern gefunden. Ergebnis:

Gruß
verrant

Du hast Windows8? Entweder liegt es daran oder an fehlenden Rechten. Hast du aswMBR per Rechtsklick als Admin gestartet?

Nochmal den Rechner im abgesicherten Modus gestartet und aswMBR per Rechtsklick als Admin gestartet. Mit Quickscan und none. Jeweils Abbruch.

Beim erneuten Starten von Win8 im normal-Modus zeigte Emsisoft eine Datei namens Taskhost.exe im Pfad F:\windows\sysnative\taskhost.exe an. In den Details habe ich dann ausgewählt, das spywareähnliches Verhalten blockiert werden soll.

Nun braucht chrome relativ lange um die 7 voreingestellten Sites zu laden.

Grüsse
verrant.

Kann an Windows8 liegen.
Was ist denn jetzt mit dem Log vom TDSS-Killer?

Sorry. Jetzt erst die richtige Funktion gefunden.

Gruß
verrant

Warum postest du unvollständige Logs?

Neuer Scan mit entsprechenden Häkchen bei den Optionen.

Unter Report die Liste aufgerufen. Mit Strg-A alles markiert und hier eingestellt:

Hab ich sonst noch eine Möglichkeit übersehen, eine Ergebnisliste zu posten?

Gruß
verrant

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

gemacht:

gruß
verrant

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

adwCleaner:

OTL.txt erster Run war ohne Haken bei alle Benutzer, darum Run 2
wg zu großem Text diese als 7.zip-Datei angehängt.


OTL EXTRAS Logfile:

Was mir aufgefallen ist. adwcleaner hat Funmoods-Einträge gelöscht. Auf dem Desktop hab ich aber noch eine Datei FunmoodSetup liegen.


Gruß
verrant

Was willst du mit Funmoods?! Das Zeug wird nicht ohne Gund vom adwCleaner erkannt und entfernt!

Also Datei löschen und Papierkorb leeren?
Was wäre dann der nächste Schritt?

Gruß
verrant

Du hast meine Fragen nicht beantwortet, wenn wir so wie jetzt aneinander vorbeireden führt ds zu nichts

Was ich mit Funmoods will?

Nix.

Weiß nicht mehr wie oder warum die auf meinem Rechner ist. Deshalb ja auch gleich die Frage nach der Löschmethode.

Gruß
verrant

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebites:

ESET

Zusätzliche Beobachtung, protection-log-2012-11-18 - Malwarebytes Anti Malware:


Gruß
verrant

Funmoods bitte löschen!

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller oder von Filepony aber nicht von solchen Toolbarklitschen wie Softonic!

Die Backupsets kannst du ignorieren. Sieht sonst soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

erl.


gespeichert und Softonic gelöscht.


Das einzige ist eben noch der Verbingungsversuch zu 93.170.104.62. Dafür hab ich nun die Win8 Pro Firewall sowie Emsisoft mit einer Blockierregel versehen. Lt. TCPView kommt keine Verbindung mehr zu Stande.

Suche jetzt nach einem guten (für mich verständlichen) CookieAddon für Chrome. Probiere gerade Vanilla.


Vielen Dank für Deine Hilfe. :daumenhoc:daumenhoc:daumenhoc

Was hältst Du von einer weiteren Absicherung mit Sandboxie?

Gruß
verrant <-- der sich freut, wieder ohne Trojaner unterwegs zu sein. :singsing::singsing:

Das macht dein Google-Chrome-Browser!
Entweder surfst du da selbst hin, oder eine Adware hat Chrome noch im Griff.
Ich würde mal Chrome resetten, ich selbst nutze Chrome aber auch wenig bis garnicht :kaffee:

Hi cosinus.

Das resetten, also löschen des Verlaufs und so, hab ich bereits mehrfach mit Chrome und auch CCleaner vorgenommen. Hatte nen Addon im Verdacht, konnte das Addon aber nicht isolieren.

Hatte ursprünglich sehr viel mit FireFox gesurft. Wegen eines Befalls hatte mir MarkusG dann nahe gelegt auf Chrome zu wechseln. Was ist, nach dem die Welt sich ja weitergedreht hat, nun heute Deine Empfehlung zum Surfen?

Gruß
verrant

Versuch mal den Chrome komplett zu löschen, inkl. deiner Profildaten
Relevantes vorher sichern zB Lesezeichen

Hi Cosinus.

Radikalkur hat geholfen.

Danke nochmal.

LG
verrant

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi Cosinus.

Ich war ein paar Tage komplett außer Gefecht gesetzt. Deshalb mit ein wenig Verzögerung meine Reaktion:

Erstmal und nochmals: vielen Dank für Deine geduldige Unterstützung.

Tools entfernt.
Secunia und Filehippo laufen.
Passwörter geändert.
Microsoft Outupdate aktiviert.
PDF Reader gewechselt.
Flash ist aktuell. Prüfung übernehmen ab sofort Secunia und Filehippo, ebenso für Java.

2 Fragen:

Kann ich Malwarebites und Emsisoft Malware parallel laufen lassen? Oder Malwarebites immer nur einmlal monatlich zum Scannen anschalten. Ich frage, weil Malwarebytes als einziges den Aufruf der 93er URL angezeigt hat.

Gibt es ein kostenloses Programm zum überwachen der Hardwaretreiber? Wenn das überhaupt hier ein Thema ist?

LG
verrant.

Würde ich echt sein lassen, nur Malwarebytes verwenden


Was verstehst du unter überwachen?

Werde Malwarebytes regelmäßig neu installieren, da ich nicht die doppelten Kosten für 2 AntiMalewareprogramme ausgeben möchte um dann nur eins davon zu nutzen. Und Emsisoft wurde mir ja auch im Trojaner-Board empfohlen.

Überwachen?
Schön wäre ein Programm, das mich darauf hinweist, das es für meine Hardware aktualisierte Treiber gibt. Am liebsten mit einem Link zur entsprechenden WebSite. Die Installation würde ich gerne auch dem Programm überlassen. Aber das soll noch nicht problemlos funktionieren.

Gruß
verrant

Warum denn zwei Kaufen?!
Wer bitte sagt dir du musst zwei Scanner kaufen? :wtf:

Emsisoft ist ja bereits bezahlt.

Malwarebytes müsste nach Ablauf der Testphase bezahlt werden.

Oder hab ich da irgendwo etwas missverstanden?

Gruß
verrant

Und wieso kaufst du das?

Nein, einfach als Free-Variante nutzen

Empfehlung von markusg in einem älteren Treadhttp://www.trojaner-board.de/106159-...tml#post734708


o.k.

Gruß
verrant