XP-Tower mit Bundespolizei-Trojaner
 

Als erfahrener Computer-Nutzer bekam ich vor zwei Wochen von einem hilfesuchenden Verwandten einen bundespolizei-trojaner-verseuchten Rechner mit Windows XP.

Ich möchte den Rechner nicht komplett bereinigen.
Stattdessen möchte ich:

1. Den Computer von einem Stick booten (, um dem Trojaner keine Chance mehr zu geben, etwas zu manipulieren.)
2. Den Trojaner (Version) identifizieren und für Euch alle Evidenzen und Beweise sichern. (Damit später anderen geholfen werden kann.)
3. Wichtige Nutzerdaten sichern. (Auf einer externen Festplatte.)
4. Den Computer mit einem neuen Betriebssystem neu aufsetzen. (Das ist einfacher als eine Bereinigung.)

Wo finde ich Tipps oder Anleitungen für meine notwendigen ersten Schritte?

1. Wo finde ich Eure Anleitung, mit der ich einen Kartenlese-Stick mit SD-Karte bootfähig mache? (Das BIOS habe ich schon auf USB-Boot vorbereitet.) All Eure Anleitungen zu den Verschlüsselungs-Trojanern erwarten, dass ich auf das System zugreifen kann, was ja nicht geht. Also kann ich sie leider zurzeit noch nicht gebrauchen und komme nicht weiter.
2. Mache ich hier alles richtig oder was sollte ich vorher noch beachten? (Die Zahl der Foren-Regeln hier ist für mich noch unüberschaubar und erscheint mir etwas überfrachtet.)

Hallo und :hallo:

Warum muss es unbedingt von Stick sein? Eine Rettungs-CD auf Linuxbasis wie zB Parted Magic, Knoppix oder ein *ubuntu im Ausprobiermodus tut es doch auch

Und was bitte für Beweise willst du da sichern?
Und würdest du auf einem anderen Wege besser helfen, kommt aber drauf an ob Windows auf dem betroffenen Rechner komplett gesperrt ist oder noch mit anderen Benutzerkonten bzw im abgesicherten Modus mit Netzwerktreibern bedienbar ist

Man kann nicht pauschal sagen welcher Weg immer der einfachere oder schnellere Weg ist.

Die Regeln sind aber alle notwendig, gerade in einem Hilfeforum dieser Sorte sind sehr viele genaue Informationen einfach notwendig.

Hm, Abgesicherter Modus mit Netzwerktreibern hat für 30 Sekunden funktioniert. Dann meldete sich auch der Trojaner-Bildschirm. Habe ihn fotografiert (siehe Anhang).
Abgesicherter Modus mit Eingabeaufforderung funktioniert. Ich konnte sogar taskmgr starten. Der Trojaner stört dabei bisher nicht.

Da ist auch noch ein Administrator-Konto, mit dem ich mich bisher noch nicht angemeldet habe. (Ich warte lieber vorerst, bevor ich dem Trojaner Gelegenheit gebe es auch noch zu befallen.)
Ich habe aber auch eine Knoppix 3.1 aus dem Jahr 2006.
Was wäre jetzt empfehlenswert, ohne zu große Risiken einzugehen?
Was kann ich an der Eingabeaufforderung jetzt am besten machen?

Kannst du aus dem abgesicherten Modus einen Browser starten?
taskmgr.exe geht ja. Versuch da rüber mal zB firefox.exe zu starten. Wenn das geht bitte mal ein Log mit OTL.exe machen:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Danke für die ersten Hilfen!

Morgen mache weiter.

Aber mich würde vorher interessieren, ob OTL etwas löscht. Ich würde gerne immer vorher wissen, ob die eingesetzten Hilfsprogramme nur "schauen" oder auch "verändern" bzw. "löschen". (Natürlich versuche ich auch in der Doku der Programme etwas zu finden, aber das ist mühsam.)

(Speziell wäre ich daran interessiert, des angezeigten Trojaner-Bildschirms mit der Bußgeld-Forderung habhaft zu werden - bestimmt ist das eine versteckte Bilddatei. Es wäre schade, wenn dieselbe im Zuge der Trojaner-Beseitigung verloren ginge. Ich brauche das Bild zu Demonstrations-Zwecken - natürlich habe ich schon die Fotos, aber die sind nicht gut.)

Wie gesagt - die Scan-Logs mache ich morgen (bzw. heute vormittag).
Erfahre ich immer vorher, bevor etwas gelöscht wird?

Nein, OTL macht in diesem ersten Schritt nur eine Momentaufnahme

Tools, die sofort etwas entfernen wenn sie fündig werden, sollen auch nur eingesetzt werden, wenn dazu von einem Helfer aufgefordert. Sonst ist das zu riskant, dass sich eine Laie etwas zerschießz.
Darunter fällt v.a. Combofix! Also bitte erstmal nur das Log von OTL machen wenn möglich

Beim Tool wie zB OTL wirst du sehen welche Fixlogs ich dir "aufgeben" werde. Sollte Combofix zum Einsatz kommen, kann es Infektionen erkennen und automatisch beseitigen, das wirst du aber im Log erkennen und ich kann es dir bei Bedarf versuchen aufzuschlüsseln. Aber das ist noch Zukunftsmusik ;)

Das Datum auf dem betroffenen Computer hatte ich es aus Sicherheitsüberlegungen im BIOS gestern auf einen Tag nach dem Befall zurück gesetzt (d. h. am 26.03.2013 steht es auf 04.03.2013). (Der Trojaner setzt ja eine Frist - ob das nur Fake ist, weiß ich nicht sicher.)

Danke, jetzt sind die OTL-Logdateien fertig.
(RAR im Anhang, da sonst zu groß. Ich hoffe das RAR-Format ist OK, sonst könnte ich auch zippen.)

In welchen Zeilen ist etwas Auffälliges zu sehen?
(Gibt es eine sogenannte GVU-Trojaner-Version zu erkennen?)

Ich habe noch etwas probiert:
C:\Programme\Mozilla Firefox\firefox.exe ließ sich auch starten.
C:\>explorer.exe (Enter) führte jedoch zur Anzeige des Trojaners.

Nach einem Neustart half zwar die Taste F8 (für Startoptionen) nichts, Windows XP startete einfach normal, doch merkwürdigerweise lässt sich der Computer jetzt längere Zeit normal benutzen, ohne dass der Trojaner sich meldet. Ich denke aber, die Gefahr ist noch nicht vorüber.

Wie kann es weitergehen?

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Prüf bitte nach dem FIx ob sich Windows wieder normal starten lässt ohne Blockade

Danke - nun scheint die Gefahr schon eher gebannt zu sein!

Den Parameter von ipconfig "/c" verstehe und kenne ich nicht.
Oder ist er nicht für ipconfig, sondern für OTL?

Die Logdatei "03042013 052332.log" ist im Anhang.
Die als "not found" gekennzeichneten Dateien waren vorhanden. Ich habe sie versehentlich verschoben (statt kopiert), dann zurück kopiert, also letztlich bewegt - und nun sind sie aus ihren Ursprungsordnern verschwunden. Ich habe sie noch (umbenannt) auf einem Stick.

Wurde nun schon etwas gelöscht?
(Meinen Trojaner-Bildschirm als Bilddatei brauche ich wohl nicht mehr, ich habe eine exakte Kopie (bis auf die IP-Daten) schon im Internet gefunden.)

Ein Neustart wurde nicht verlangt (ist das ein Fehler?) obwohl im Skript ja [resethosts] zu lesen war.

Ich habe trotzdem neu gestartet und der GVU-Trojaner meldet sich nicht mehr.

Vielen Dank für die Begleitung!

Ist das Problem schon gelöst oder gibt es noch weiteres zu tun / zu beachten?

Im meinem vorigen Beitrag ist das Ergebnis des Codes aus der Textbox in der OTL-Codebox.
Vielleicht ist der Schritt erfolgreich verlaufen und alles OK.

Da ich aber wohl unerlaubterweise (und schuldbewusst) selbst an den gefundenen Dateien herumgeschoben und -kopiert habe, bin ich unsicher, ob und wie ich mit Ihrer Hilfe die Trojanerbeseitigung ordentlich zuende bringen kann.

Sollte ich nochmal einen Scan mit OTL machen?
Oder ist alles OK?

Der Ordner C:\_OTL der ja auch die Malware-Dateien enthält, existiert noch.
Vielleicht sind noch weitere Scans zu machen?

Im Anhang sind die Inhalte aufgelistet (via MS-DOS Befehl "dir /s") von C:\_OTL und von dem USB-Stick, mit dem ich Dateien von und zum schadhaften PC übertrage. Damit wird transparent was von den bisher gefundenen Malware-Dateien wo noch vorhanden ist. An dem Ordner C:\_OTL habe ich nichts verändert und auch nicht an dem Skript aus der Textbox. Ich habe alle Anweisungen befolgt. Lediglich bevor ich dieses Skript bekam, hatte ich die gefundenen Dateien selbst aufgesucht und versucht auf meinen Trojanerbeseitigungs-USB-Stick (in den Ordner "Backup von ..." zu kopieren.

Ich wäre Ihnen dankbar, wenn wir (jetzt oder vielleicht erst nach Ostern) diese Aktion fortsetzen und ordentlich beenden könnten.

Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!




Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Und bitte die Logs nicht anhängen!

Auch ich bearbeite meine Aufgaben sehr gewissenhaft und umsichtig. Ich lese erst bevor ich handele. Ich vermeide, irgendwo "dazwischen zu funken".

Gmer:

Gmer lief problemlos unter einem zufälligem Dateinamen. Gmer.txt liegt jetzt auf dem Desktop.

Mit OK wurde Gmer aber nicht beendet, sondern nur die Logdatei gespeichert. Mit der Schaltfläche "Exit" habe ich Gmer beendet.

Netz-Zugang:

AVIRA ist nicht zu sehen. Ich weiß nicht, wer oder was es ausgeschaltet hat.
Ins Netz gehe ich mit dem Rechner aber noch nicht - erst nach Aufforderung oder wenn dieser Thread hier erfolgreich beendet ist. (Zum Glück konnte ich alle privaten Dateien inzwischen sichern. Neuaufsetzen wäre möglich. Aber ich habe noch mindestens eine weitere Woche Zeit, diesen Fall nach Trojaner-Board-Vorgehensweise zuende zu führen.)

Malwarebytes:

Ich möchte mit dem verseuchten Rechner noch nicht ins Netz, weil AVIRA von Unbekannten ausgeschaltet wurde. Daher möchte ich Malwarebytes aktualisieren, bevor ich es auf den betroffenen PC transferiere. Anderslautenden Anweisungen hierzu werde ich aber Folge leisten.

Ich versuche jetzt mit der mbar-ZIP-Datei erstmal auf meinem Internet-Rechner klar zu kommen. Leider meldet schon der Start auf meinem Internet-Rechner ein Problem:
"DDA driver was not installed which may be caused by rootkit activity. Do you want to reboot the computer to install DDA driver (Scan will continue after reboot)?"
Ich melde mich, wenn ich weiter weiß. Wenn ich AVIRA problemlos einschalten kann, werde ich vielleicht doch schon jetzt mit dem betroffenen Rechner für das benötigte Update von mbar kurz ins Netz gehen.

Bitte das Log von GMER posten

Den betroffenen Rechner komplett ohne Internetzugang zu analysieren geschweige denn zu bereinigen ist eine aufwändige und umständliche Sache, wenn du diesem System eh nicht mehr vorn und hinten nicht mehr traust dann setze es bitte einfach neu auf.

Ach so, es hatte den Anschein, das Gmer-Log soll nur auf den Desktop abgelegt werden. Hier ist es:
[CODE]
GMER Logfile:
--- --- ---


Ebenso habe ich jetzt eine Mbar Logdatei erstellt. (Hierfür habe ich ein MBAR verwendet, dass zuvor auf einem anderen Computer auf den neuesten Stand gebracht wurde):
Es ist nicht so, dass ich dem betroffenen Computer nicht mehr traue. Ich glaube sogar, der GVU-Trojaner war die einzige Infektion. Jedoch wundert mich, dass auf dem Computer kein AVIRA mehr installiert war.

(Es wäre allerdings vorstellbar, dass der Besitzer bei einem Produkt-Update auf die neue AVIRA-Version 2013 nach Deinstallation der alten Version 2012 unterbrochen wurde, den Computer nach halb fertiger Arbeit in ungeschütztem Zustand verließ und dann vergessen hatte, die neue AVIRA-Version zu installieren bevor er das Internet benutzte.)

Soll ich AVIRA jetzt installieren, bevor alles fertig ist? Oder lieber abwarten, was noch zu scannen / zu untersuchen ist? (Ganz ohne AVIRA gehe ich damit wirklich ungern ins Internet.)

Nein nichts installieren bevor wir hier fertig nicht sind

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

aswMBR

Beim ersten Durchlauf wurden die Antivirendefinitionen (laut deiner Anweisung via ungeschützter (!) Internetverbindung) heruntergeladen. Als der Scan sehr lange lief. habe ich währenddessen die Internetverbingung getrennt. Das führte später zu einer Windows-Fehlermeldung.

http://img713.imageshack.us/img713/4...kitfehlerm.png

Hierfür besitze ich keine Logdatei.
Dann habe ich den Scan nochmal gestartet - zunächst ohne erneutes Herunterladen der Antivirendefinitionen. (Erster Teil der aswMBR Logdatei).

Dann auch nochmal mit Herunterladen, diesmal mit bis zum Ende des Scans offener Internetverbindung (Zweiter Teil der aswMBR Logdatei):
Bei jedem aswMBR Scan wurde zusätzlich noch eine Datei "MBR.dat" erzeugt.

TDSSKiller

Den Report habe ich aus dem Reportfenster heraus kopiert. Eine Datei dafür konnte ich auf dem Desktop nicht finden.

Ich verstehe nicht viel von dem Log, kann aber sagen, das PGP auf dem Computer tatsächlich vom Benutzer installiert wurde.

Ich habe auf dem Computer das Programm TDSSKiller verlassen, aber den Computer noch nicht neu gestartet, weil in der TDSSKiller-Anleitung (Trojaner-Board) behauptet wird, dass es nach einem Neustart bereits Säuberungsmaßnahmen durchgeführt werden und ich zuvor Anweisungen des Helfers abwarten soll.

Danke für deine Bemühungen so weit.
Wie soll es weitergehen?

Das ist nur vermutet. Den wirklichen Grund für diese Fehlermeldung kenne ich nicht. Sie erschien auch nicht sofort nach dem Trennen der Verbindung sondern erst einige Zeit später. Sie ist bei den weiteren aswMBR-Scans nicht mehr aufgetaucht.

Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix

ComboFix beendete sich einmal wegen eines Datumfehlers:

http://imageshack.us/scaled/thumb/83...rmeldungco.png

Nach Änderung des Datums auf (ungefähr) die aktuelle Funkuhr-Zeit wurde ComboFix erneut gestartet. Dann fehlte - wie vorausgesehen - die Wiederherstellungskonsole:

http://imageshack.us/a/img62/9013/20...rmeldungco.png

, die aber - nach Herstellung einer ungesicherten Internetverbindung - erfolgeich installiert wurde. Danach lief Combofix zuende und präsentierte die Datei "log.txt" auf dem Bildschirm:
Anmerkung zu zwei Logeinträgen:

• "Eumex 400" ist der Name des WLAN-Routers in dem Haus, in dem der Computer normalerweise benutzt wird.
• Die "Ask-Toolbar" installiert sich leider immer wieder bei irgendwelchen Updates - ich kann das nicht wirklich verhindern - erwünscht ist sie nicht.

Vielen Dank für die Hilfe. Wurde schon etwas gefunden oder entfernt?
Was ist nun zu tun?

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

JRT - Junkware Removal Tool
AdwCleaner[S1].txt
OTL zur Kontrolle
OTL.Txt
Extras.Txt
Danke, soweit!

Erledigt. Wie geht es weiter?

JRT - Junkware Removal Tool

AdwCleaner[S1].txt

OTL zur Kontrolle

OTL.Txt
Extras.Txt
Danke, soweit!

Erledigt. Wie geht es weiter?

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes Anti-Malware

Der Quick-Scan brachte zwar noch keine Infektionen zum Vorschein ...
... aber der ESET Online-Scanner läuft noch und meldet bis jetzt "5 Threats found".
Nach 1 Stunde hat er 32 % geschafft.

Ich bin besorgt, weil der Computer nach wie vor ungeschützt - ohne jeglichen Virenscanner - vielleicht sogar ohne Firewall (?) offen mit dem Internet verbunden ist. Ist das wirklich noch eine saubere Vorgehensweise?

Wenn der Scanner fertig ist, melde ich mich wieder.

OK. Der ESET-Scan brauchte für 46 % (Fortschrittsbalken) über 2 Stunden. War dann aber nach ca. 2:20 Std. plötzlich schon fertig.

C:\Programme\ESET\ESET Online Scanner\log.txt
Alle Funde bis auf den unter "...Java\Deployment\Cache ..." halte ich für harmlos und einfach löschbar.

Sollte ich nun nicht allmählich den aktuellen AVIRA-Schutz installieren?

Danke für deine Hilfe bis hier!

Was macht denn dein Rechner gerade, hm? :pfeiff:
Der Scanner im Hintergrund würde wenn eraktiv wäre mehr als stören, den Vorgang von ESET noch weiter hinauszögern

Ja, das sehe ich alles ein. Doch mir wurde einmal gesagt, dass es Robots im Internet gibt, die einfach IP-Adressen ausprobieren und ob man sich da (automatisch) leicht reinhacken kann. Ich weiß nicht, ob die verschiedenen Scanner dafür einen Schutz bieten, solange alles andere ausgeschaltet ist.

Aber gut, wer nicht gerade surft, ist vielleicht nur wenig gefährdet - keine Ahnung, wie oft solche Auto-IP-Hacks passieren und ob es das immer noch gibt (ich weiß davon seit 10 Jahren).

Nun ja, was kann / sollte ich noch als nächstes tun?
(OTL-Sachen löschen? AVIRA installieren? Noch etwas scannen / reparieren lassen?)

Was ist denn jetzt mit ESET, ich warte noch auf das Log

So einfach ist das nicht, außerdem hast du noch Router und Window-Firewall

Das ESET Log ist schon da - in meinem obigen Beitrag (heute 18:45 Uhr), auf den du schon um 20:18 Uhr geantwortet hast.
Die Trojaner-Board Forum-Software hat meinen Beitrag mit dem ESET-Log einfach erweitert, obwohl ich ihn erst gegen 20:15 Uhr verfasst hatte.

Mein ergänzender Beitrag mit dem ESET-Log und deiner haben sich wohl zeitlich überschnitten.

Mir wäre es lieb, wenn wir mit dem ESET log (Forum Zeit 18:45 Uhr, im Beitrag ganz unten) fortsetzen. Die von OTL gefundenen Infektionen - und eine andere auch - werden darin ja noch angezeigt.

(Dies hier habe ich um 7:53 Uhr geschrieben und vielleicht wird die Forum-Software sogar diesen viel später geschriebenen Beitrag an meinen letzten Beitrag von gestern, 22:19 Uhr anhängen.)

Das sind nur Reste. Den JavaCache kannst du mit TFC leeren:

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Danke, soweit lief TFC durch.

Kommt jetzt noch etwas, wie z. B. hier: Sparkassen-Trojaner #17 ?

Ich werde den Herrn Computerbesitzer anweisen, etwas für das Trojaner-Board zu spenden.
Den Link finde ich ja hier

Falls in meinem Fall nichts mehr zu tun ist, möchte ich noch einen Verbesserungsvorschlag loswerden: Die Möglichkeit zu spenden sollte offensichtlicher erreichbar sein. Man muss die sich-helfen-lassenden Benutzer ja nicht damit nerven, aber zumindest im Menü oder am unteren Rand jeder Seite sollte ein Link dorthin gefunden werden können.

(Anmerkung: Aus mir unerfindlichem Grund werden die Permalinks gelöscht, die ich oben versucht habe, zu verwenden.)

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Das betroffene System scheint schon längst von Infektionen befreit zu sein.

Jetzt fehlt noch ein Virenschutz - ich nehme normalerweise immer AVIRA.
Außerdem frage ich mich, wie ich den relativ "ahnungslosen" Computerbesitzer davon abhalten kann, sich neue Probleme einzufangen, ohne dass er etwas dazu lernen muss (er ist schon fast 87 Jahre alt und viel von neuem Wissen bleibt nicht mehr dauerhaft hängen). Aber wenn AVIRA tatsächlich während der Infektion nicht vorhanden war - was ich nicht sicher weiß - dann war das sicherlich die Lücke, die ich ja nun schließe.

Deine Tipps und die aus dem Sparkassen-Trojaner Thread werde ich mir auch nochmal durch den Kopf gehen lassen. Alles, was automatische Updates erfordert, lasse ich aber lieber bleiben - diese Bildschirm-Dialoge überfordern den Benutzer eher, als dass sie ihm helfen. Ich bin froh, wenn er mit den AVIRA- und Windows-Sicherheitsupdates klarkommt.

Außerdem könnte ich vermutlich auch ein Trojaner-Board-Helfer werden - Wissensgrundlagen in punkto EDV habe ich sicherlich genug - aber die Akademie nimmt ja zurzeit keine neuen Interessenten auf - und ich weiß auch nicht, ob ich dafür wirklich 10 Stunden in der Woche auf Dauer durchhalten kann.

Vielen Dank auf jeden Fall für deine Hilfe. Sicherlich wird sie zu einer Geldspende für das Trojaner-Board führen.

Vermutlich werden sich im Laufe der Zeit noch mehr "Ahnungslose" an mich wenden und ich wäre froh, wenn ich das Trojaner-Board weiter dafür nutzen könnte. Einen Fall hatte ich auch schon mal bei geekstogo.com mit dem Helfer "RKinner" (auf englisch) gelöst. Ich werde auch mal schauen, ob ich für mich mehr über die eingesetzten Tools in Erfahrung bringen kann (Selbststudium).

Dann kann man nichts sinnvolles anbieten bei gleichzeitig viel Freiheit in Form von zB er kann selber Programme installieren als Beispiel.
Manche Zielgruppen sind mit MacOS besser bedient. Vllt ist auch eine Linux-Distro gangbar, aber Windows ist zu stark in der Schusslinie.

Egal aber welches OS, an prinzipielle Maßnahmen muss/sollte man sich immer halten, ich poste diesen Lesestoff mal