Win7: AVIRA findet TR/Vundo.Gen, TR/Trustezeb.235520 und TR/Crypt.ZPACK.188761
 

Hallo Trojaner-Board,


vor 2 Tagen habe ich mir wohl einen Virus oder Trojaner eingefangen und würde gerne eure Hilfe in Anspruch nehmen.

Ich habe blöderweise den Anhang einer email wegen letzer Mahnung und so angeklickt. Ich weiss das ist die grösste Dummheit ever, aber es war hektisch an dem Morgen beim Frühstück und die email war sehr gut gemacht. :headbang:

AVIRA meldet folgende Funde: TR/Vundo.Gen, TR/Trustezeb.235520 und TR/Crypt.ZPACK.188761.

Ansonsten läuft der PC bis jetzt noch normal, aber ich benutze ihn aktuell nur wenn unbedingt notwendig.

Ich habe mit AVIRA Mitteln versucht die Viren/Trojaner zu entfernen. Das hat aber nur teilweise geklappt. Zumindest sieht es für mich als Viren/Trojaner-Laie so aus.

Gemäss der Anleitung hier im Forum habe ich jetzt die relevanten Informationen mit FRST, Gmer, etc. eingesammelt und poste hier im Fred die log-Files.

Da sie aber riessig sind muss ich sie auf mehrere Postings verteilen. Aber irgendwo habe ich hier im Forum gelesen, dass man ein neu eröffneten Beitrag nicht antworten sollte, solange er noch nicht bearbeitet ist, da dann jeder annimmt der Beitrag hat schon einen Bearbeiter. Ich bekomme aber die restlichen Logs nur per Antworten hier rein. Deshalb warte ich mal eine Weile und poste dann die anderen Logs. Ich hoffe das ist so ok.


Könntet ihr mir bitte helfen das Problem zu lösen ?

Herzlichen Dank schon einmal im Voraus !
schmiro


Defogger Logs:
defogger_disable.log
FRST Logs:
FRST.txt

FRST Logfile:
--- --- ---

Gmer Logs:
Gmer.txt
GMER Logfile:
--- --- ---

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Bitte noch die Addition.txt vom FRST-Scan posten.

Hallo Juergen,

wow das ging aber schnell. Klasse !
Vielen Dank für deine Hilfe.

Den TDSSKiller habe ich mir heruntergeladen und ausgeführt.
Es wurden 4 Threats gefunden.

Dummerweise war ich zu blöd zu erkennen, dass man Skip in der DropDownBox des jeweiligen Threats auswählen muss. Ich habe verzweifelt nach Cure und Skip auf dem UI gesucht und da ich nichts fand habe ich dann Continue gedrückt. Ich Idiot !
Bin einfach zu nervös/ hektisch. Ist mein 1. Virus seit 10 Jahren.
Ich habe dann den Scan noch einmal -jetzt genau nach Anleitung- durchgeführt.

Ich hoffe du hast nicht schon jetzt die Schnauze voll von mir. Ich gelobe Besserung !

Die TDSSKiller Log-Dateie muss ich aufteilen, da zu gross.
Der 2. Teil und die FRST Addition.txt kommt in einer 2.(3.) Antwort.

Herzlichen Gruss
schmiro


DieTDSSSKiller Logdatei:

... und hier der 2. Teil der TDSSKiller Log-Datei

... und hier die FRST Addition.txt

TDSS Killer nochmal starten und Funde entfernen lassen.

Wichtige Online-Passwörter von einem anderen PC oder Handy ändern. Bis zum clean keine sensiblen Logins mehr von diesem PC.

Anschließend:

Schritt 1

Echtzeitschutz des Virenscanners abschalten.

http://www.deeprybka.trojaner-board.de/zoek/avira.gif

Schritt 2
http://deeprybka.trojaner-board.de/b...s/combofix.pngScan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Juergen,

ich habe Combofix ausgeführt.

Am Ende gibt es aber eine Fehlermeldung in einem PopUp:
"Unable to create a backup of the current registry file c:\windows\system32\config\SYSTEM!
Continue restoration of this file ?"
Auswahl Button: JA oder NEIN.

Im Fenster von CombiFix steht derweil: "Starte Windows neu ... Bitte warten.
Bitte lasse ComboFx deinen PC neustarten.
WARNUNG ! Führe keinen manuellen Neustart der Maschine durch."

Kennst du das ?
Habe ich was falsch gemacht ?


Herzlicher Gruss
schmiro

PS: Mein AVIRA Echtzeitscanner ist deaktiviert.

Nö hast nichts falsch gemacht. Ist Combofix denn durchgelaufen und hat ein Log erstellt?

Hallo Juergen,


ComboFix ist gelaufen in einem blauen CMD Fenster. Ob bis zum Ende bin ich nicht sicher.
Bis zum Autoscan ist er gekommen. Siehe Screemshot von Combofix Website: hxxp://www.bleepstatic.com/download/screenshots/c/combofix/tn/still-scanning-showing-stag.jpg

Danach kam in diesem Fenster wie gesagt:
""Starte Windows neu ... Bitte warten.
Bitte lasse ComboFx deinen PC neustarten.
..."
Und darüber das PopUp mit der Fehlermeldung und der Frage mit Auswahl JA/NEIN.
Soll ich da JA oder NEIN auswählen ?

Ich habe eine ComboFix.txt gefunden.

Aber nicht direkt unter c:/combofix.txt sondern erst durch die Windows Suchfunktion habe ich sie gefunden. Sie liegt im Verzeichnis c:\combofix. Das komische ist nur dass wenn ich direkt über den WindowsExplorer dort reinklicke nur meine ganzen Laufwerke sehe.
Wenn ich über die Suchfunktion gehe und dann über "Dateipfad öffnen" gehe, komme ich in das gleiche Verzeichnis c:\combofix und jetzt sind jede Mende Dateien zu sehen.
Komisch, komisch,...


Herzlicher Gruss
schmiro

ComboFix.txt:

OK. Dann poste jetzt neue FRST-Logs.

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Hallo Juergen,

Wie soll ich da jetzt weiter machen ? Ja oder Nein auswählen ?

sorry wenn ich frage, aber ich bin unsicher.

Herzlicher Gruss
schmiro

Ach so, dann läuft Combofix noch. Wähle Nein und warte ab.

Hallo Juergen,


also ComboFix ist jetzt durchgelaufen und hat den PC neu gestartet.

Allerdings war der Desktop-Hintergrund komplett in schwarz. Auch keine Icons rechts unten in der Taskleiste von allen sonst per autostart geladenen Programmen. sieht so aus als wenn die gar nicht mehr geladen werden.
Hat das ComboFix alles gemacht ?

Wär kein Problem. Hauptsache der Virus ist weg.

Jetzt findet sich auch eine c:\combofix.txt. Siehe unten.

Herzlicher Gruss
Ralf

Hallo Ralf,

mache bitte so weiter:

Schritt 1

http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 2

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Hallo Juergen,


anbei die Logs von MBAM und FRST

Herlicher Gruss
Ralf

MBAM:
FRST Logs:
FRST.txt

FRST Logfile:
--- --- ---

... und hier von FRST Addition.txt

OK, dann bitte noch einen Kontrollscan mit ESET:

Schritt

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Juergen,


ESET hat bei 15% und nach ca, 35 Minuten schon wieder 4 Bedrohungen gefunden.
Alles Win32/Trustezeb.K.

:headbang:

Soll ich ESET trotzdem weiter laufen lassen ?
Kann so 3-4 Stunden dauern, da mehrere grosse Laufwerke in meinem PC drin sind.


Gruss
Ralf

Ich warte ja nicht auf das ESET Log. :)

Führe den Scan vollständig durch.

Hallo Juergen,


hier ist das ESET Log FIle.

Am Ende waren es dann 10 Bedrohungen.


Herzlicher Gruss
Ralf

Morgen Ralf,
aktive Malware wurde da keine mehr gefunden. Wann genau hast Du denn den Anhang geöffnet?

Kannst Du bitte mal versuchen mir diesen Ordner hochzuladen:

C:\TDSSKiller_Quarantine


Schritt 1

http://deeprybka.trojaner-board.de/b...d/uploadch.PNG
Upload:

• Link zum Upload-Channel.
• Deaktiviere Dein Anti-Viren-Programm.
• Gehe zum Ordner C:\TDSSKiller_Quarantine.
• Rechtsklicke auf den Ordner und wähle > Senden an > zip-komprimierter Ordner.
• Es wird eine zip-Datei erstellt.
• Klicke auf der Seite des Upload-Channels auf http://deeprybka.trojaner-board.de/b...upload%203.PNG und lade die Datei hoch.

Bitte um Rückmeldung ob es geklappt hat! ;)
Danke für Deine Hilfe!

Hallo Juergen,


am Mittwoch, den 15.10. 2015, ca. 10:00 Uhr.

Den gezippte TDSSKiller Quarantäne Ordner habe ich hochgeladen


Herzlicher Gruss
Ralf

Danke Dir.

Mach mal bitte noch folgendes:

Schritt 1

Echtzeitschutz des Virenscanners abschalten.

http://www.deeprybka.trojaner-board.de/zoek/avira.gif

Schritt 2
Download von https://sites.google.com/site/canned...b27e2-Zoek.png ZOEK (by Smeenk)

• Speichere die zoek.exe auf dem Desktop.
• Bitte deaktiviere während der Verwendung von Zoek Deinen Virenscanner, da dieser Zoek stören könnte.
• Starte die zoek.exe mit einem Doppelklick und warte bis die Programmoberfläche erscheint (ca. 30 Sekunden)
• Kopiere den Text der folgenden Box in das Skriptfenster von Zoek:
  
  Code:

  ---

  systemspecs;
filesrcm;
autoclean;
emptyclsid;

  ---

• Nun klicke auf "Run script" und sei geduldig bis das Skript durchgelaufen ist.
  
  Zitat:

  Zoek.exe is running now. Do not start any browser windows, they may get closed automatically. Please wait! This window will close when finished. A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log

• Wenn das Tool fertig ist, wird sich eine Logdatei öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter C:\
• Bitte poste mir das zoek-results.log.

Hallo Juergen,


anbei die Ergebnisse von zoek

Herzlicher Gruss
Ralf

PS: Meine Antwort hat diesmal ein wenig länger gedauert, da ich über Mittag familiäre Verpflichtungen hatte.

OK.

Diese Datei hat aber nichts mit Deiner Sache zu tun oder? "C:\Users\schmiro64\Downloads\20151015.zip" ansonsten hochladen zum TB. ;)


bitte deinstallieren und bei Bedarf mit der aktuellen Version ersetzen.




http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/ESS.png
ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hallo Juergen,


nein, diese Zip-Datei habe ich selbst erstellt.


Nur eine kleine VerständnisFrage:

Wenn ich Java benötige, soll ich dann trotzdem obige Version deinstallieren und mit der aktuellen ersetzen ?
Sprich diese Java 7, Update 60 hat Probleme ?

Ein super grosses Lob und Danke Schön an dich.
Ich habe super Hilfe von dir die letzten 3 Tage bekommen.
Echt Klasse !!!
Bin jetzt richtig erleichtert.



Herzlicher Gruss
Ralf

Ähm, gestern morgen bis heute... ;)

Benchmark ist 1 Antwort in 24 Stunden.

Probleme nicht, aber Lücken. Und da hilft es nichts, wenn Du auch die neueste Version installiert hast, die alten müssen runter.