Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch
 

Hallo zusammen,

folgendes Problem:

Es wurde eine Mail von Hotel.de mit einer Reservierung an mich gesendet, die ich versehentlich aufgemacht habe. Die angehängte Datei (als pdf getarnt) hat wohl nen Virus enthalten.

Folgende Symptome sind aufgetreten:
- explorer.exe startet nicht mehr und der Desktop bleibt leer

1. Frage: habe im Forum schon was gefunden - ist das das beschriebene Problem?
(http://www.trojaner-board.de/125188-...gung-spam.html)

2. nach Schritt 2 eurer Anleitung habe ich folgende Log-Files erhalten:

(sind leider zu lang und als zip angehängt)

Habe die Mail auch schon an die @virus Mail geschickt und markusg per Mail benachrichtigt

Ich hoffe ihr könnt mir helfen und ich habe meine Angaben strukturiert genug gemacht ;)

Außerdem lasse ich noch die Anti-Malware drüber laufen, die Datei arbeitet aber gerade noch.


Schönen Abend,

A

Hallo ALKA889 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.




Los geht's:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

Hallo Leo,

danke für die schnelle Hilfe. Da der Desktop nicht angezeigt wird und, wenn ich den explorer manuell über den Task Manager starte der PC sich aufhängt, werde ich diese Programme auch über den Task Manager vom USB Stick aus starten. Ich hoffe das klappt so.

Hier noch die Log Datei vom Maleware Scan:


Edit:

Hab das erste Programm drüber laufen lassen, nur da sich nix getan hat nach dem Neustart (wie auch ohne explorer.exe zu starten) habe ich die manuell gestartet und es hat funktioniert.

Das zweite Programm habe ich auch gestartet, es hat mir jedoch gemeldet, dass Avira Antivir noch an ist. Obwohl das auf dem PC garnicht zu finden ist und das eigentliche Virenprogramm McAfee deaktiviert ist. Habe den Scan jedoch trotzdem laufen lassen.

Jedoch sagt er mir nach dem Update der Wiederherstellungskonsole, dass der Zugriff verweigert wurde. Wie kann ich jetzt weiter machen? Avira Antivir ist nicht auf dem PC zu finden und folglich auch nicht zu deaktivieren.

Tausendfache Entschuldigung für den Doppelpost, aber leider kann ich meinen vorherigen Post nicht mehr editieren. (Angemerkt: Wofür ist diese 60 Minuten Regelung sinnvoll?)

Habe Combofix nochmal über den Tastmanager gestartet, nachdem der Explorer abgestürzt ist. Jetzt läuft er und hat folgendes Logfile ausgegeben:^

Combofix Logfile:
--- --- ---


OTL Logfile

OTL Logfile:
--- --- ---



Nachdem der ComboFix drüber gelaufen ist, hat sich der PC auch wieder ganz normal hochgefahren und der Desktop war wieder da. Danke erstmal dafür :)

Hallo,

da ist aber schon noch einiges stehen geblieben..


Schritt 1

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschliesslich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link.
• Speichere es erneut auf den Desktop (wichtig!).
• Drücke die {Windows} + R Taste, schreibe notepad in das Ausführen Fenster und drücke OK.
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  http://www.trojaner-board.de/132533-virus-hotel-de-spam-pdf-format-explorer-exe-oeffnet-mehr-automatisch.html#post1032525

Collect::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe

Folder::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\03F9A928
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Uharity
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae

File::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{04E8C5A9-EB19-CA0A-2180-716EB4DC35AB}"=-
"KB00252781.exe"=-

  ---

• Speichere dies als CFScript.txt auf deinen Desktop.
• Wichtig: Stelle deine Antiviren-Software temporär ab. Diese kann ComboFix bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schliesse alle anderen laufenden Programme, damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Zum Schluss wird Combofix Dateien zur Analyse einschicken wollen. Folge einfach den Anweisungen, um dies zuzulassen.
• Wenn ComboFix fertig ist, wird es ein Log erstellen (C:\ComboFix.txt).
• Bitte füge den Inhalt dieses Logs in deine Antwort ein.

Schritt 2

Falls noch nicht vorhanden, lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle anderen Programme.
• Klicke nun auf den Quick Scan Button.
• Kopiere danach den Inhalt von OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von OTL

Schritt 1:

Schritt 2:

Danke für deine Hilfe :)

Hallo,

wie läuft der Rechner jetzt?
Alles normal oder ist er langsamer geworden?


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
• Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
• Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:

• Log von MBAR

Hallo,

mir ist nicht aufgefallen, dass er wesentlich langsamer läuft. Soweit so gut :)

Hallo,

prima, dann machen wir noch eine Kontrolle:


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

OTL


MBAM

Ok, fehlen nur noch ESET und SecurityCheck

hier kommen die beiden anderen Log-Files. Hatte den ESET über Nacht laufen ;)


ESET

Security Check

Hallo,

das ESET-Log sieht schlimmer aus als es ist. Sind nur Funde in Quarantäne und in der Systemwiederherstellung. Beides werden wir noch löschen.
Aber dein Update-Stand ist ziemlich schlimm. So im Internet herumzurennen ist gefährlich - wie du wohl selbst bereits bemerkt hast.


Schritt 1

Lade das unten an diesen Post angehängte File resetdma.zip herunter und speichere es auf deinen Desktop.

• Entpacke das zip-Archiv (Rechtsklick -> Alle extrahieren...).
• Starte die darin enthaltene resetdma.vbs mit einem Doppelklick.
• Folge den Anweisungen und starte nach Beendigung den Rechner neu auf.

Schritt 2

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

• Speichere es unter dem Dateinamen reglook.bat auf den Desktop.
  (Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
• Starte die reglook.bat.
  Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"
• Zum Schluss wird sich ein Notepadfenster öffnen. Kopiere dessen gesamten Inhalt hier in den Thread.
  (Nachträglich findest du diese Logdatei auch als checkDMA.txt auf dem Desktop.)

Schritt 3

Downloade und installiere das Service Pack 3 für Windows XP.



Schritt 4

Downloade und installiere den Internet Explorer 8.
Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird.



Schritt 5

• Gehe zu Start --> Systemsteuerung und öffne Software.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • Java(TM) 6 Update 2
  • Java(TM) 6 Update 3
  • Java(TM) 6 Update 5
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 6

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 7

• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log des bat-Skripts
• Log von SecurityCheck

Hey,

es dauert noch ein Stück bis ich weiterarbeiten kann. Bin unterwegs und habe den Rechner nicht vor Ort. Also nicht wundern. ;)

Trotzdem danke nochmals für die Hilfe. Ich poste die weiteren Details wenn ich wieder Zugriff habe.

Alles klar, danke für die Mitteilung.

bat skript

Security Check

Hallo,

sehr gut, dieses SecurityCheck-Log gefällt schon viel besser. :daumenhoc
Dann bleibt jetzt nur noch das Aufräumen übrig.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools wegräumen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Falls zu Beginn defogger verwendet wurde, dann starte defogger und drücke den Button Re-enable.
2. Falls Combofix eingesetzt wurde, dann deaktiviere jetzt temporär das Antivirenprogramm, benenne die auf dem Desktop vorhandene Combofix.exe um in Uninstall.exe und führe sie mit Doppelklick aus.
3. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
4. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
5. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
6. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Vielen Dank nochmals für deine Hilfe. Ist ein super Board hier und wenn ich wieder Probleme habe werde ich wieder auf euch zurückkommen. :dankeschoen:

Danke für die Rückmeldung.


Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.