PC Malwareverseucht?
 

Hallo liebe Trojaner-Board-Profis
Habe mir neulich die Testversion von GData Internet Security 2013 direkt von der Herstellerseite gedownloadet (vorher hatte ich die Vollversion von 2009, werde mir aber demnächst die neue 2013 Vollversion kaufen). Habe auch meinen PC damit komplett durchgescannt. Es wurden insgesamt 3 infizierte Dateien gefunden, die laut Gdata auch erfolgreich gelöscht wurden. Habe anschließend einen Schnell-Scan mit Malwarebytes, sowie einem Vollscan mit dem Spyware Terminator und dem Microsoft-Security-Scanner durchgeführt. Auch wurde die dort gefundene Malware laut den Programmen gelöscht. Neulich wollte ich meinen Grafiktreiber aktualisieren, für das ich mir den Driver Cleaner von chip.de geholt habe. Plötzlich hat GData ca 8 Meldungen mit Virenalarm gebracht. Anscheinend irgendwelche Trojaner. Diese wurden dann auch in die Quarantäne geschoben. Anschließend habe ich dann nochmal einen Voll-Scan mit Malwarebytes gestartet, diesen allerdings nach über 19! Stunden Scanzeit abgebrochen. Die 4 gefundenen Malwaredateien waren jeweils 2x ein Trojan.Vundo sowie 2x pup.offerbundler. Beide auch laut Malwarebytes gelöscht. Da mich aber die Dateien, in denen die dinger anscheinend gesessen sind oder immer noch sitzen stutzig gemacht haben (beides Softonic-Downloader für Programme wie Photoscape), hab ich sie online scannen lassen. Bei beiden haben die Virenprogramme Backdoor und Trojaner gefunden. GData jedoch findet nichts! Bin langsam echt am verzweifeln, da ich echt Angst habe dass mein PC irgendwie ausspioniert wird oder durch Malware verseucht ist. Gibt es irgendwie eine Möglichkeit, diesen Programmen auf die Schliche zu kommen? Oder soll ich am besten Windows neu installieren? Firewall ist stets aktiv, alle Windows sowie GData und Malwarebytes-Updates sind stets aktuell. Habe mir bereits RKill gedownloadet. Die Datei, die sich nach Abschluss öffnet sagt dies hier:

Rkill 2.4.7 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/20/2013 03:39:34 PM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* G:\WINDOWS\system32\FsUsbExService.Exe (PID: 1996) [WD-HEUR]

1 proccess terminated!

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* Windows Firewall Disabled

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = dword:00000000

Checking Windows Service Integrity:

* No issues found.

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost

Program finished at: 02/20/2013 03:40:24 PM
Execution time: 0 hours(s), 0 minute(s), and 50 seconds(s)

Hier mal meine Systeminformationen:
Microsoft XP Home edition Version 2002
Servicepack 3
AMD Athlon Dual Core Processor 4050e
2,10 GHz, 3,35GB RAM

Bitte verzeiht mir wenn ich etwas zu viel drumherum geschrieben habe, oder zuviele Programme genannt habe, wollte einfach auf Nr. Sicher gehen und euch alles mitteilen. Ehrlichgesagt hab ich von solchen Sachen nicht viel Ahnung, daher wäre echt dankbar, wenn ihr mir helfen könntet :)
Liebe Grüße Sara

Bevor es losgeht würde ich gerne das Logfile von Malwarebytes sehen.

Hallo ryder
Hier mal das Logfile vom letzten Vollscan (wurde allerdings nach ca 19std abgebrochen)
Soll ich eventuell nochmal einen Vollscan starten?
gruß Sara

Nein, nicht nötig.

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?

Bitte Lesen und verstehen.

Wen du dir so einen Mist runterlädst und installierst, musst du dich über Werbung und Trojaner nicht wundern!





Ausserdem:
Vundo ist keine einfache Infektion, aber ich bin ziemlich zuversichtlich.

Wir müssen da erstmal schauen was los ist.

Scan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schliesse alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhälst du einen Bluescreen, dann entferne den Haken vor Devices.

Hallo ryder
Habe alles nach Anleitung gemacht. Jedoch im abgesicherten Modus, da mein PC im normalen Modus beim Starten von Gmer abgestürzt ist (Habs 3x probiert. Jedes mal ein Bluescreen mit Meldungen wie BAD_POOL_HEADER oder IRQL_NOT_LESS_OR_EQUAL).
Zu meiner Überraschung hat das Programm nichts gefunden, daher ist auch das abgespeicherte Logfile leer.

Gruß Sara

Dann müssen wir da anders ran:

Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort, möglichst in CODE-Tags.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Danke für die schnelle Antwort.
Soll ich mein Virenprogramm dazu nochmal deaktivieren?

gruß Sara

Nein, das ist ein unabhängiger Scanner.

Okay der scan hat super geklappt. Hier mal das Logfile:
Gruß Sara :)

Das sieht irgendwie nicht komplett aus. Aber das was ich sehe ist okay.

Weiter:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder
Mit dem runterladen von der Windows-Wiederherstellungskonsole hat alles funktioniert und sonst hat es Anfangs mit combofix auch gut geklappt... Bis auf das das gData am Anfang immer Meldungen wegen Ausführen von combofix gebracht hat (obwohl ich den Virenscanner und Wächter deaktiviert hab! Auch hat gData trotzdem updates heruntergeladen.)
Allerdings hat der Scan deutlich länger als die vorgegebenen 10 minuten gebraucht.
Beim scan von Stelle(?) 48 hat er dann so ewig gebraucht, dass ich schnell den Raum verlassen habe. Als ich ca 10min später zurückgekommen bin hat mein PC einen Bluescreen mit der Meldung BAD_POOL_HEADER gebracht. Jetzt bin ich irgendwie ratlos... Hab während des scans nur einmal die Maus bewegt, weil der Bildschirm ausgegangen ist und ich schauen wollte wie weit combofix ist. Ansonsten hab ich wirklich nichts gemacht.

gruß Sara

Ja das kann schon mal passieren, dass es abschmiert.

Probiere alternativ den abgesicherten Modus oder benenne die Combofix.exe um in NoMBR.exe

Hallo ryder
Im abgesicherten Modus hat nun alles super geklappt.
Hier mal das Logfile:
gruß Sara

Oh da sind ja noch ein paar hübsche Sachen versteckt :D


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Nochmals Combofix und bitte das neue Logfile posten.

Erstmal danke für die schnelle Antwort. Ging alles wunderbar. Beim adwCleaner musste auch nur 1x neu gestartet werden. Allerdings hat mich bei combofix ein bisschen irritiert, dass es die Wiederherstellungskonsole nochmal heruntergeladen hat ..
Naja hier erstmal die logfiles:
adwCleaner:
Und noch combofix:
Gruß Sara

Das ist schon sehr viel besser!

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Habe nun alle Scans durchgeführt. Weder Malwarebytes noch Eset haben irgendwelche Infizierungen gefunden.
Hier noch das Logfile vom Security Check:
gruß Sara

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Schritt 3:
Deinstalliere die beiden Flashplayer


Schritt 4:
Update: Adobe Flash Player

• Entferne zunächst alle alten Versionen des Flash Players über die Systemsteuerung.
• Lade dir bitte die neueste Version des Flash Players
• Entferne vor dem Download den Haken:
  http://www.trojaner-board.de/picture...&pictureid=320
• Starte die Installation und folge den Anweisungen des Setups.

Schritt 5:
Deinstalliere Firefox. Wenn du ihn noch benutzt dann installiere bitte die neueste Version.

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Vielen vielen Dank für die Hilfe. Hat alles funktioniert (bis auf die Installation von Java) Habe WOT und SecureBanking gleich installiert. Jetzt fühle ich mich auf jeden Fall wieder sicherer beim surfen.
Echt Top dass es das Trojaner-Board gibt :daumenhoc
Vielen Dank nochmal und Liebe Grüße
Sara

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/