Trojaner Sirefef.AG.9 u. Sirefef.AL.50 in C:\$Recycle.Bin\, Vista-Sicherheitscenter u. Firewall nach anschl. VistaUpdate nicht mehr startbar
 

Hallo liebe Helfer,

nach dem Lesen in einigen Foren bin ich schließlich über Gooogle auf folgendes, super aufbereitetes Thema http://www.trojaner-board.de/106601-...-trojaner.html gestoßen, dessen Problem meinem sehr ähnelt.

Am 21.02.2013 wurde unsere Tel-Leitung für LTE freigeschaltet. Endlich konnte ich mit meinem 4 Jahre alten PC, der zuvor mangels Modem und ohne DSL-Möglichkeit nur offline arbeitete, ins Internet. Habe als erstes Antivir aktualisiert, jedoch nicht daran gedacht, dass ich auch Vista hätte sofort aktualisieren müssen. Während ich den Rechner für die zukünftige Arbeit mit allen wichtigen Programmen (Ftp, gängige Browser alles von chip.de geladen) und Daten des Notebooks ausstattete, meldete sich einige Zeit nach der Browserinstallation der Flashplayer, der sich installieren wollte. Eigentlich klicke ich diese Meldung immer weg, so auch an diesem Tag, beim ersten Erscheinen. Beim 2. Mal hatte ich einige Programme geöffnet, die ich schließen wollte bevor ich mir die Sache mit dem Flashplayer genau anschaue. Es war schon nach 00:00 Uhr und eigentlich wollte ich, schon todmüde, nur noch alles ausschalten und ins Bett.

Der Defender war mit der Meldung “Fehler bei der Anwendungsinitialisierung. 0x80070006. Das Handle ist ungültig” abgestürzt. Ich hatte mehrere geöffnete Fenster verschiedener Programme auf dem Bildschirm, sowie das Fenster vom abgestürzten Defender (fand ich nicht tragisch, da der sich auf dem Notebook mit winxp auch öfter verabschiedet). Das Fenster vom Defender ließ sich jedoch weder schließen noch bewegen. Nun wollte ich die geöffneten Programme schließen, die jedoch unter dem Defenderfenster auf eine Eingabe warteten. Einige konnte ich mit enter schließen. Einige hatten aber die Auswahl zwischen speichern und beenden unter dem unbeweglichen Defenderfenster und ließen sich mit enter nicht schließen. So kam ich schließlich an die Meldung des Flashplayers. Da die Browser alle neu installiert waren dachte ich daran ihn später evtl. zu installieren. Als dann jedoch die nervige Vista-Sicherheitsabfrage kam habe ich einen Moment gezögert, hatte aber nicht wirklich eine Wahl, wenn ich die Programme auf normalem Weg schließen wollte und habe auf fortfahren geklickt, in der Erwartung, dass da noch eine Abfrage zur Installation kommt, worauf sich der Flashplayer jedoch ohne jegliches Installationsstartfenster sofort installierte. Ich habe sofort auf abbrechen geklickt. Bis dahin ahnte ich noch nicht, dass dies ein Programm mit Schädlingen sein könnte. Habe noch die Meldung erhalten, dass das Programm nicht fertig installiert werden konnte und evtl. noch einmal installiert werden müsste, was ich natürlich nicht mehr getan habe, da ich inzwischen ahnte, dass irgend etwas schief gelaufen ist.

Antivir brachte merkwürdige Meldungen, die sich nicht schließen ließen (siehe Anhang) und wenig später die erste Malwaremeldung, die anschließend, nach dem Verschieben der Viren in die Quarantäne, im Fünfminutentakt erschien. Die Recherche im Internet zur Meldung ergab eigentlich nichts bedenkliches, sondern direkt im Avira-Forum gab es einige Posts darüber, dass an dem Thema gearbeitet wird. Scheinbar erschien für jede Malwarewarnung noch ein zusätzliches Antivir-Fenster (s. Anhang). Auf meinem Monitor wimmelte es inzwischen vor scheinbar nicht schließbarer Fenster. Diese schloß ich dann über den Taskmanager. Dort fand ich auch einen Eintrag vom Flashplayer, den ich problemlos aus den Prozessen entfernen konnte, der aber in großen Abständen immer wieder erschien.

Inzwischen waren im Hintergrund 118 VistaUpdates geladen, die ich nun gleich installierte. Während dessen suchte ich, inzwischen wieder hell wach, im Internet nach Informationen zu den Trojanern. Ich habe mir nicht getraut den PC auszuschalten, da ich befürchtete, dass er nicht mehr starten wird. Das nahm mir dann das VistaUpdate gegen 02:30 mit einem Neustart, bis 03:00 Uhr ab.

In der Avira-Quarantäne liegen seit dem 22.02. 152 mal die beiden Trojaner aus der Überschrift, die sich nach dem Verschieben anscheinend immer wieder installiert haben, so lange ich mit dem Internet verbunden war, da sie immer vom selben Ort entfernt wurden.

Am nächsten Morgen habe ich sofort weiter recherchiert. War ich online kamen wieder die Malwarefenster von Avira. In einem anderen Forum wurde ich auf Malwarebytes aufmerksam, welches ich von heise.de geladen und anschließend ausgeführt habe. Den Artikel hier auf dem Board habe ich erst danach gefunden.

Nachdem ich am 22.02. noch 2mal VistaUpdates installiert hatte, ließ sich nach einem Paket das Sicherheitscenter nicht mehr einschalten und auch die Windows-Firewall nicht mehr starten, der Link zu den Updates funktioniert noch aber auch den musste ich erst wieder ausgraben. Die Verknüpfung aus der linken Startleiste auf dem Desktop war leer. Anschließend wurde Servicepack 2 geladen, welches nach der Installation beim wieder hoch fahren des PC abbrach. Nach dem erneuten Laden ließ sich das Service Pack 2 erfolgreich installieren. Defender bringt weiterhin o.g. Fehlermeldung beim Einschalten. Sicherheitscenter und Firewall können weiterhin nicht gestartet werden. Auch aktualisieren lässt sich die Firewall nicht. Sie ist in den Diensten nicht mehr vorhanden. Direkt nach dem Trojanerbefall funktionierten die Sicherheitseinrichtungen von Vista noch normal. Diese waren definitiv erst nach dem Aufspielen der Updates, die direkt vor der Installation des Service Pack 2 an der Reihe waren, verschwunden.

Seit dem Virenbefall habe ich viele Informationen zum Thema Trojaner gesammelt. Insbesondere habe ich o.g. Thema gelesen und bis zum Onlinescann abgearbeitet und bis zu Ende gelesen. Komme nun aber alleine nicht mehr wirklich weiter. Toll wäre es, wenn ich Windows nicht neu aufsetzen müsste.

OTL 26.02.2013

Die Funde im Quarantäneordner von Malwarbytes habe ich gelöscht. Den vorher angefertigten Screenshot habe ich angehangen. Inzwischen bekomme ich keine Virenwarnungen mehr. Ich habe aber die Befürchtung, dass diese Ruhe tügerisch ist.

Den gestrigen Fund von OTL habe ich noch nicht behandelt.

Es wäre sehr schön, wenn mir hier jemand helfen könnte. Andernfalls bleibt wahrscheinlich nur neu aufsetzen, was ich natürlich sehr gern vermeiden würde.

Noch eine weitere, für mich sehr wichtige Frage. Kann ich bedenkenlos von diesem PC E-Mails versenden und mich in Foren einloggen ohne dass da die Passwörter ausgelesen werden können oder irgend ein anderes Schindluder getrieben werden kann? Kann ich per FTP von diesem Rechner weiter html-Dokumente in Websites laden, ohne dass sich schädlicher Code einschleicht und wie kann ich dies sicher testen und ausschließen.

Hallo andor und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.



Ich würd deine Aktivitäten an diesem Rechner im Moment auf das absolut Notwendigste reduzieren (also eigentlich im Moment nur auf das Forum hier). Die eingefangene Infektion ist nicht harmlos und wie ich beim ersten Überblick gesehen habe, bist du mit komplett veralteter Software unterwegs (fehlendes Servicepack, uralter Internet Explorer, wohl sehr altes Java). Das ist gefährlich.

Mach jetzt aber noch keine Updates oder sonstige Installationen, wir sollten uns zuerst die Lage mal anschauen:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Hallo Leo,

zurerst mal vielen Dank für die schnelle Antwort.

defrogger konnte ich ausführen.

gmer leider nicht. 5 mal ist mir der PC dabei abgestürzt. Vom Bluescreen konnte ich einmal mitschreiben

ein anderes mal

OTL habe ich noch nicht ausgeführt, weil ich nicht weiß, ob gmer vorher ausgeführt worden sein muss.

Hallo,

ok, dann mach mit OTL weiter, Gmer muss nicht vorher ausgeführt worden sein.

Gibt es hier eine Begrenzung? Ich kann die Scripte nicht posten.

Wenn sie zu gross sind, dann poste die Logfiles separat der Reihe nach, eins nach dem anderen.
(Die Logfiles bitte nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)

Ich hatte vor deinem letzten Posting noch mal mit gmer probiert. Das Programm ist zwar jedes Mal abgestürzt. Ich konnte aber kurz vorher copieren. Allerdings weiß ich nicht, ob dies nur ein Teilscan ist. In einem stand deutlich mehr drin aber das konnte ich vor dem Absturz nicht copieren.

Jetzt noch OTL extra

Hallo,

Ja, das ist es.
Versuch doch noch einen Gmer-Scan nach der gegebenen Anleitung, aber entferne dieses Mal auf der rechten Seite zusätzlich noch den Haken bei "devices".
Resultiert das dann immer noch in einem Absturz?

Nach fünfstündigem scannen kommt jetzt endlich das gmer-logfile.

[CODE]
GMER Logfile:
--- --- ---

Ok, dann machen wir weiter:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von OTL

Nachdem ich ComboFix ausgeführt habe, verschwand das Fenster nach einigen Minuten. Danach habe ich noch etwas gewartet und dachte es ist fertig. Wollte grade auf C: nachschauen als ein Fenster mit folgender Meldung erschien:

Den Antivir hatte ich mit Klick mit der rechten Maustaste auf das Symbol in der Taskleiste -> Kontextmenü -> Echtzeitscanner aktiviern das Häkchen entfernt. Ich war der Meinung das reicht. Oder nicht? Was soll ich jetzt tun. Das Fenster am Kreuz schließen und noch einmal beginnen?

Das sollte eigentlich reichen, ja.
Wenn der Avira-Schirm im Symbol geschlossen ist, dann fahre einfach fort mit Combofix.

Der Schirm ist geschlossen. Im Taskmanager werden aber AntiVirSchedulerService und AntiVirService unter den Diensten noch als "Wird ausgeführt" angezeigt. Sie lassen sich weder über Dienst beenden noch über die Prozesse.

Fenster nach klicken des OK Button aus vorigem Post:

Ich trau mich nicht.

Kann ich das Fenster mit OK schließen? Was kann denn passieren?

Oder kann ich ComboFix noch mal stoppen und neu beginnen?

Lass Combofix einfach durchlaufen, da passiert schon nichts. ;)

Logfile ComboFix:

[CODE]
Combofix Logfile:
--- --- ---


Es hat doch noch geklappt. Nun muß ich aber mal ein Stündchen schlafen. Der PC raubt mir noch den letzten Nerv.

Gute Nacht

:dankeschoen: schon mal bis hierher

Ok, prima. :daumenhoc

dann mach ich dir an dieser Stelle grad eine neue Liste, die du als nächstes dann in Angriff nehmen kannst:


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
• Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
• Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von MBAR
• Log von OTL

Guten Morgen,

mbar scant gerade.

Heute früh musste ich mal nachschauen ob sich an der Firewall was getan hat und tatsächlich, sie ist wieder an und auch das Sicherheitscenter funktioniert wieder. Damit hatte ich wirklich nicht gerechnet.

I'm happy!!!

:taenzer:

Hallo,

Das freut mich. :)
Wie läuft denn dein Rechner sonst jetzt? Alles normal oder passt noch etwas nicht?


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hier sind schon mal die ersten beiden logfiles.

OTL

Nach dem Scan kam hier nur, dass keine verdächtigen Objekte gefunden wurden. Hier hatte ich nur die Möglichkeit auf OK zu klicken. Ergebnisse anzeigen gab es nicht.
Auch im Quarantäneordner liegt nichts.

Wenn ESET Online Scanners wirklich so lange dauert, soll ich dann die externen Festplatten besser ab lassen? Zwei waren wärend dem Virenbefall am PC angeschlossen. Eine habe ich danach sofort getrennt, die andere ließ sich nicht über die Taskleiste lösen. Die hatte ich dann einfach ausgeschaltet. Ich habe dann noch eine dritte, die zu dem Zeitpunkt nicht angeschlossen war aber über USB-Sticks hatte ich vom infizierten Rechner noch mal Daten (malwarbytes.exe) auf das Notebook übertragen, da ich seit dem Anschluß von LTE mit dem Notebook nicht mehr ins Internet komme und vom Notebook habe ich auf die 3. externe Festplatte zugegriffen.

Ist schon ganz schön verworren die ganze Geschichte. Auf einer Platte die am PC steckte habe ich Sicherungskopien vom Notebook.

Durch diesen Scan soll alles nochmals gründlich durchgecheckt werden.
Ich würd alle vorhandenen Datenträger anschliessen, den Scan laufen lassen und in der Zwischenzeit etwas anderes machen. :)

Kurze Rückmeldung nach mehr als 9 Stunden Mammutscan.

Der ESET Online-Scanner hat keine Funde gemeldet. :daumenhoc

Prima, dann sind wir so gut wie fertig. :daumenhoc
Noch SecurityCheck (geht nur 1 Minute ;) ) und dann noch ein paar wenige letzte Schritte.

Für SecurityCheck die Festplatten und Sticks dran lassen und Virenscanner und Firewall wieder ausschalten?

Hallo,

du kannst deine externen Festplatten jetzt alle wieder entfernen und Virenscanner und Firewall wieder aktivieren (was du ja schon getan hast).
Jetzt packen wir das Übel aber noch an der Wurzel. Mit solchen alten und uralten Softwareversionen darfst du auf keinen Fall im Internet surfen - wie du schmerzlich erfahren hast, ist das gefährlich. Die müssen noch auf den neusten Stand gebracht werden.


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • Java(TM) 6 Update 21
  • Java(TM) 6 Update 7
  • Java 2 Runtime Environment, SE v1.4.1_02
  • Java Web Start
  • Adobe Flash Player 10 ActiveX
  • Adobe Reader 9 - Deutsch
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 15.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Schritt 4

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 5

• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von SecurityCheck

Der Adobe Reader lässt sich nicht deinstallieren. Merkwürdige Meldung:

Besagten Ordner gibt es auf der internen Festplatte nicht. Auf beiden externen Fesplatten befindet sich jedoch jeweils ein Ordner 00 bilder. Diese Meldung habe ich früher schon manchmal bekommen. Ich weiß aber nicht mehr in welchem Zusammenhang. Die Aktion konnte ich dann jedenfalls nicht ausführen. Ich habe keine Ahnung warum die Meldung kommt.

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

• Speichere es unter dem Dateinamen reglook.bat auf den Desktop.
  (Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
• Starte die reglook.bat.
  Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"
• Zum Schluss wird sich ein Notepadfenster öffnen. Kopiere dessen gesamten Inhalt hier in den Thread.
  (Nachträglich findest du diese Logdatei auch als checkUSF.txt auf dem Desktop.)

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

• Speichere es unter dem Dateinamen batch.bat auf den Desktop.
  (Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
• Starte die batch.bat.
  Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"

Danach starte den Rechner neu auf und versuche die Deinstallation noch einmal.

Den Adobe Reader bekomme ich nicht auf die neueste Version. PluginCheck meldet:

Über den Buttun update darunter, gelange ich über den Link Download neueste Version von auf einen Downloadserver. Dort ist aber die alte Version hinterlegt.

Hallo,

Doch, das ist in Ordnung so. Für Vista gibt es die Version 11 nicht, du bist jetzt überall aktuell. :daumenhoc

Von meiner Seite wär das jetzt alles, wir räumen noch alles auf.
Danach häng ich dir noch eine Liste mit Tipps für die Zukunft an.


Schritt 1

Starte defogger und drücke den Button Re-enable.



Schritt 2

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.



Schritt 3

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.



Schritt 4

Downloade dir bitte delfix auf deinen Desktop.

• Schliesse alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Klicke auf Start.
• DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

:taenzer: :party: :Boogie:

Ok und vorab den allerherzlichsten Dank. Das habe ich kaum zu hoffen gewagt. Die Liste arbeite ich dann morgen noch ab, vor allem die Tipps, die kann ich mir ausgeschlafen besser merken. :stirn:

Im Moment hakt der IE etwas. Friert teilweise ein ohne dass ich irgend welche großen Seiten lade. Pdf kann er auch nicht darstellen. Dafür habe ich die Sicherheit unter Extras -> Internetoption auf mittel gestellt, so zeigt er die Pdfs wieder an.

Vielleicht braucht der PC aber auch nur einen Neustart nach den ganzen Aktionen.

Wichtig wäre für mich noch, ob Online-Banking wieder möglich ist. In anderen Foren hatte ich, bevor ich hierher gefunden hatte, gelesen, dass ein System mit diesem Virenbefall auf jeden Fall neu aufgesetzt werden muß um wieder vertrauenswürdig zu sein.

Eigentlich bin ich in Foren nur stiller Leser, weil es dort oft sowieso keine Lösung gibt. Meist artet das ganze dann noch in allgemeiner Beleidigung aus. Hier hatte ich erst Panik vor den ganzen Downloads und was vielleicht alles passieren könnte.

Ich bin aber über den Verlauf mehr als begeistert und werde Euch auf alle Fälle weiterempfehlen. Wenn ich morgen die Liste noch abgearbeitet habe melde ich mich auf jeden Fall noch einmal.

Wahrscheinlich werde ich auch noch einen neuen Thread starten, da ich noch ein uralt Problem mit dem Notebook habe, welches ich damals, trotz intensiver Recherche nicht lösen konnte. Ab dem Servicepack 3 von XP konnte ich dort keine Updates mehr machen und ich komme seit der Umstellung von ISDN auf LTE (vorigen Donnerstag) nun nicht mehr ins Internet damit, weil der Gerätemanager nichts mehr anzeigt und die Lanverbindung in der Netzwerkumgebung auch nicht auftaucht. Ich dachte da auch schon an Viren, da wäre ja aber wahrscheinlich heute beim Scan der externen Festplatte, auf der sich eine Sicherheitskopie des Notebooks befindet, schon was aufgefallen.

So für heute soll es aber erste einmal genug Erfolg gewesen sein.

Gute Nacht und bis morgen.

Ja, das ist in Ordnung, melde dich einfach nochmals hier, wenn du ganz durch bist mit der Liste und dann können wir die angesprochenen Punkte noch anschauen.
Gute Nacht.

Hallo,

nachdem der IE nicht so richtig arbeiten wollte (war extrem langsam und irgendetwas bremste den ganzen PC aus) habe ich noch einmal genau überlegt seit wann es mir aufgefallen war. Als ich den Adobe Reader neu installieren wollte, habe ich aus Versehen den darunter liegenden Link geklickt, worauf ich FromDocToPDF, eine Toolbar für Browser, herunter geladen und installiert habe. Ich habe dann zwar mitbekommen, dass dies nicht das war was ich wollte, habe sie aber erst einmal nicht deinstalliert sondern die Schritte fertig abgearbeitet. Gestern war dann der PC total langsam und surfen mit dem IE ging fast gar nicht. So habe ich über Programme und Funktionen wieder deinstalliert und seit dem ist alles wieder bestens. Ich habe heute noch ein bisschen am PC gearbeitet und bin der Meinung, dass alles wieder funktioniert.

Wichtig wäre mir nun noch zu wissen, ob Homebanking jetzt unsicherer von diesem PC ist als vor dem Malwarebefall.

Für das Notebook-Problem werde ich einen neuen Thread aufmachen. Das ist doch Ok so oder? Hier passt es ja nicht rein.

Hallo,

Ja das ist immer so eine Diskussion mit dem "Vertrauen".
Völlig unbestritten und wie zu Beginn darauf hingewiesen ist es immer die sicherste Lösung, die Festplatte zu formatieren und das System neu zu installieren.
Manchmal wird aber in dieser Frage aber auch etwas gar kategorisch (und hysterisch) darauf reagiert. Es ist so, dass so eine Infektion nicht einfach nur mitläuft, sondern auch das Betriebssystem in einem gewissen Sinne zu manipulieren versucht. So wird dann argumentiert, dass man nicht weiss, was da alles noch verdreht oder nachgeladen wurde und inwieweit innerhalb des Systems laufende Tools noch akkurat sind und man deshalb dem System nicht mehr trauen kann.
Auf der anderen Seite handelt es sich dabei aber nicht um gezielte personalisierte Angriffe, sondern das ist Massenware, welche möglichst weit verbreitet werden soll und auch ist. Somit wird sie auch sehr gründlich analysiert. Man weiss also ziemlich genau, was diese Malware macht (und was nicht) und dieses Wissen fliesst in die Tools zur Entfernung der Infektion.
Natürlich bleibt immer ein kleiner Rest Ungewissheit, aber konsequenterweise müsste man dann auch jedes System, auf welchem beispielsweise mit einem veralteten Java-Plugin (oder überhaupt mit einem Java-Plugin) gesurft wurde, für nicht mehr vertrauenswürdig erklären, denn es hätte ja jederzeit über die Sicherheitslücken Malware installiert werden können. Und auch wenn ein Antivirenscanner nichts finden kann, bedeutet das ja wie immer nur, dass er nichts findet und nicht, dass dort auch nichts ist.

Es sieht bei dir so aus, dass die Infektion gut entdeckt und entfernt werden konnte und alles wieder sauber ist.
Wenn du dich aber immer noch unsicher fühlst, dann setz neu auf.

Die Malware, welche bei dir sichtbar war, attackiert normalerweise nicht das Homebanking, sondern versucht auf anderen Wegen finanziellen Gewinn zu erzielen.

Wenn du möchtest, kann ich bei dir noch kontrollieren, ob alle Teile davon entfernt wurden durch die Deinstallation. Gib einfach schnell Bescheid.

Genau, für einen anderen Rechner einen neuen Thread eröffnen.

Guten Morgen Leo,

heute können wir, glaube ich, diesen Fall abschließen. :abklatsch: Gestern lief der PC normal.

Das habe ich gehofft und ich denke genauso, wie Du geschrieben hast:

Ich halte auch nichts von manchen hysterischen und reißerischen Berichten im Internet und denke auch, dass jederzeit eine unbemerkte Infektion des PC erfolgen kann.

Absolute Sicherheit wird es nie geben. Auch wenn Banker oft sagen "Homebanking ist absolut sicher", so greife ich schon seit jeher immer mit gemischten Gefühlen und nur wenn es wirklich notwendig ist auf meine Onlinebanking-Konten zu. So werde ich es auch weiter halten. Im Moment denke ich über HBCI nach, was ja noch sicherer sein soll. Solange man jedoch Eingaben über die Tastatur am PC machen muss, auch wenn diese zunächst offline passieren, glaube ich nicht dass dies wirklich sicher ist. Aber das ist ein anderes Thema.

Jetzt möchte ich mich noch einmal ganz herzlich bei Dir bedanken. Du hast mir sehr geholfen und ein nerviges und zeitaufwendiges Neuinstallieren überflüssig gemacht.

Es wäre toll, wenn Du das noch einrichten könntest. Gibt es da ein Patentrezept, wie man das selber prüfen kann? Sicher nicht. :dummguck:

:dankeschoen: :dankeschoen: :dankeschoen:

Hallo,

schön zu hören, dass der Rechner wieder normal läuft.

Es gibt ein Tool (AdwCleaner), welches darauf spezialisiert ist, solche störenden Toolbars und veränderte Startseiten zu löschen. Wir können schnell kontrollieren, ob dieses noch etwas findet bei dir:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Starte bitte die OTL.exe.
• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von OTL

Hier sind die beiden Scripte.

AdwCleaner Logfile:
--- --- ---

[/CODE]

AdwCleaner Logfile:
--- --- ---

[/CODE]

Habe aus Versehen 2x AdwCleaner eingefügt. Hier kommt das OTL-File.

OTL Logfile:
--- --- ---

Hallo,

da ist nichts mehr zu sehen.
Von meiner Seite wäre das jetzt alles. Wenn auch für dich alles ok ist, können wir diesen Fall jetzt abschliessen. :)

Hallo Leo,

von meiner Seite gibt es auch keine Probleme mehr. Wir können das Thema nun beenden. Nocheinmal recht herzlichen Dank, auch für die sehr nette Zusammenarbeit und für die schnelle Lösung der Probleme.

:abklatsch:

Bis bald kommt glaube ich hier nicht so gut??? ;) Es ist jedoch schön zu wissen, dass es hier bei komplizierten PC-Problemen Hilfe gibt.

Viele liebe Grüße und danke für alles
Doris

Vielen Dank für die Rückmeldung, Doris.


Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.