TR/Agent.10512429.1 und Win32/Agent.SZW trojan
 

Hallo,

offenbar haben mich zwei Trojaner erwischt. Um den Hintergrund etwas aufzuklären muss ich etwas ausholen:

Ich betreibe zwei Domains beim Strato mit verschiedenen Postfächern. Aus "alter" Zeit besitze ich auch noch zwei Postfächer bei web.de. Post, die bei den web.de-Postfächern landet, wird automatisch weitergeleitet (web.de1 -> strato1, web.de2 -> strato2). Die web.de Postfächer schaue ich mir seit Langem nicht mehr an, sonderen dort lese eigehende Emails über die strato-Accounts. Seit einiger Zeit bekomme ich seltsame Emails (Beispielmail s.u.).
Nach etwas Recherche bin ich auf dieses Board aufmerksam geworden und habe daher meinen PC einem SystemScan mit Antivir unterzogen. Der Scan zeigte den Fund TR/Agent.10512429.1 in der Datei D:\050 Programme\Logon Tweaker\Win7 Logon Tweaker x64 v5.90.exe. Diese datei habe ich direkt in Quarantäne verschoben (Antivir Scan-Log s.u.).
Daraufhin habe ich einen Scan mit Kaspersky TDSSKiller durchgeführt. Hierbei ist mir besonders die Info bezüglich der Datei sptd augefallen. Ich habe auch hierzu recherchiert und einen Hinweis auf sptd.sys gefunden. Diese Datei ist in menem System vorhanden und kann nicht kopiert werden, da sie angeblich geöffnet ist. In der Command Shell habe ich mit Openfiles aber keinen Hinweis gefunden, dass diese Datei tatsächlich geöffnet ist. In der Registry gibt es 3 Einträge zu sptd.sys, keiner dieser Einträge kann gelöscht werden (die Exports aus der Registry zu diesen Einträgen kann ich bei Bedarf posten).
Im Anschluss habe ich einen Scan mit MalwareBytes durchgeführt (vorher manuelles Update durchgeführt). Hier gab es keine Funde (Log s.u.).
Abschließen habe ich noch einen Scan mit dem ESET Online Scanner, wie im Beitrag TR/Agent.53248 beschrieben durchgeführt. Bei diesem Scan habe ich noch meine 2 externen USB-Platten uns einen USB-Stick angeschlossen. Ergebnis:
C:\Users\### mein Username ###\AppData\Local\TempImages\AutoUpdate.exe a variant of Win32/Agent.SZW trojan
K:\GOLLUM\Backup Set 2010-03-01 101807\Backup Files 2010-08-30 091023\Backup files 15.zip a variant of Win32/Agent.SZW trojan

Das ESET-Logfile ist ganz unten angehängt.

Als erste Konsequenz habe ich zunächst sämtliche Email-Accounts von einem sauberen Rechner aus mit neuen Passworten versehen.

Nun ergeben sich für mich ein paar wichtige Fragen:
Die Email-Frage: Zunächst ist mir unklar, ob die Email tatsächlich von einem meiner Accounts initiiert werden oder es sich um Spam-mails von Fremden handelt, die durch einen Spamfilter zurückgewiesen werden und durch meine Weiterleitung nun dieses Format haben.
Kann das jemand erkennen?

Zum zweiten die beiden Trojaner: Was tun die bzw. haben die getan (Win32/Agent.SZW scheint schon länger da zu sein)? Da ich meinen PC nicht nur für das lesen von Emails nutze, bin ich nicht sicher, welche weiteren Accounts ggf. kompromittiert sind (Shopping-Accounts, Foren-Accounts etc.)

Und zum Schluss das Wichtigste: Wie bekomme ich die Trojaner aus meinem System?

Schon mal vorab vielen Dank für die Geduld diesen Beitrag zu lesen und mir ggf. sogar noch zu helfen!


Beispiel-Email:
Antivir-Scan:
Kaspersky TDSSKiller-Log:
MalwareBytes Log:
ESET-Log:

:hallo:

Aus welcher Quelle hast du das? Irgendwie hab ich den Eindruck dass dieser Fund und die beiden anderen eher der Kategorie "Fehlalarm" zuzuordnen sind.

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!


Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo cosinus,

Vielen Dank für Deine Unterstützung!

Ich habe Malwarebytes Anti-Rootkit BETA v1.01.0.1017 heruntergeladen, gestartet und auch das Update auf DB-Version v2013.01.23.01 erfolgreich durchgeführt.
Der Scan zielte auf Drivers, Sectors und System.
Hier das Log:
Hmmm, tatsächlich falscher Alarm??

Eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hallo cosinus,

hier die OTL-Logs

1. OTL.txt:
OTL Logfile:
--- --- ---

2. Extras.txt:
OTL EXTRAS Logfile:
--- --- ---

versehentlicher Doppelpost -> gelöscht

Du hast den Haken bei Scanne alle Benutzer vergessen! Bitte das Log nochmal richtig machen

Hallo cosinus,

der neue Scan ist mit der Option "Scanne alle Benutzer" erfolgt. Außer meinem normalen (in den Scans als "<User 1>" zu finden) gibt es nur noch einen weiteren angelegten Account. Dessen Username taucht in den Scans allerdings nicht auf.

OTL.txt:
OTL Logfile:
--- --- ---

Extras.Txt
OTL EXTRAS Logfile:
--- --- ---

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo cosinus,

ich habe einen Scan mit GMER versucht. Die Folge war ein übler mit BlueScreen. einen weiteren Scan mit GMER habe ich daher nicht gewagt.
aswMBR stürtz beim Scannen auch ab, reisst aber nicht das ganze System 'runter. Ich habe beim Scannen "nur" den Echtzeitscanner von Antivir ausgeschaltet. Reicht das oder muss ich mehr wegschalten?
Ich habe 2 Scanversuche unternommen, bei beiden war derselbe Fund. Nach beiden Abstürzen des Scanners habe ich noch Screenshots gemacht (s. Anhänge). Beim 2. Versuch habe ich es sogar noch geschafft beim Absturz ein Log schreiben zu lassen (der Fund ist bei "20:48:04.211"). Ich habe nicht auf Fix geklickt.

aswMBR log:

Bitte GMER nochmal versuchen

Hallo cosinus,

habe GMER nochmal ausgeführt -> BlueScreen mit der Meldung "APC_INDEX_MISMATCH".

Habe meinen PC anschließend im abgesicherten Modus gestartet und GMER nochmals gestartet. Das Ergebnis war dasselbe: BlueScreen mit der Meldung "APC_INDEX_MISMATCH".

What next?

TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo cosinus,

ein TDSSKiller-Logfile befindet sich bereits in meinem Eröffnungspost. Falls das nicht ausreicht, gibt mir bitte eine Info.

Reicht nicht aus, weil es eine veraltete Version vom TDSSK war. Die Tools bitte nach Möglichkeit immer neu runterladen und dann ausführen, damit man auch wirklich die aktuelle Version benutzt.

Hallo cosinus,

sorry für die späte Antwort, aber ich zur Zeit beruflich sehr eingespannt.

Ich habe mir die neuste TDDSKiller-Version herunter geladen und einen Scan gemäß Beschreibung durchgeführt:

Dann bitte jetzt CF ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo cosinus,

hier das Combofix-Log:
Combofix Logfile:
--- --- ---


:confused: Wäre schön, wenn Du mir einen Hinweis geben könntest, wie gut oder schlecht es für mein System aussieht.

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Hallo cosinus,

hier die Scan-Ergebnisse:
JRT-Log:
JRT Logfile:
--- --- ---


AdwCleaner[R1]:
AdwCleaner Logfile:
--- --- ---

hier das OTL-Log

OTL:
--- --- ---

und das Extras-Log

OTL Extras:
--- --- ---