Bösartige Malware - Firewall deaktiviert, Hintergrundbild geändert, Firefox befallen!
 

Hallo Zusammen

Mein PC ist seit gestern Abend von einer ganz bösen Malware befallen. Dabei wird das Hintergrundbild verändert, die Windows Firewall deaktiviert und ein installer gestaret, der die Software "Antivirus XP 2008" zu installieren versucht. Natürlich habe ich den Install Prozess abgebrochen, es erscheint dann die Windows Meldung "Der Prozess tt1A.tmp musste sofort beendet werden..."

Das Hintegrundbild kann ich nicht ändern, denn die dafür notwendigen Tabs bei den Einstellungen fehlen. Im weiteren kann ich keine Anti-Malware Seiten aufrufen mit FireFox, entweder werde ich zu einer skurillen Seite weitergeleitet oder die Fehlermeldung "Der Server konnte nicht gefunden werden" kommt. Daher konnte ich auch die Hijack This Software nicht herunterladen...

Jetzt bleibt die Frage, was soll ich tun? Muss ich mein System neu aufsetzten? Ich wäre so dankbar wenn es eine andere Möglichkeit gäbe... ;-)

Rein technisch würde mich noch interessieren wie das passieren konnte. Ich habe den PC 1 Woche nicht gebraucht und dann nur gestern Abend. Dabei war ich nur im iTunes Store und habe mit MSN gechattet. Ein Kollege hat mir ein rapidshare Link geschickt, welchen ich geöffnet habe ohne jedoch den wirklichen Download zu starten (da ich dann zu Bett gehen wollte und dachte, dass ich das am nächsteh morgen machen werde). Parallel dazu lief noch der Warhammer Online downloader von der offiziellen Website (der dann komischerwiese bei 99% abbrach). An weitere Aktivitäten kann ich mich nicht erinneren...

Ich muss eingestehen dass ich von der Macht dieser Malware regelrecht schockiert bin und gleichzeitig kommen da auch Zweifel an der Software auf wie zum Beispiel FireFox (habe die neuste Version 3), der sich scheinbar so leicht manipulieren lässt.

Ich hoffe jemand kann mir weiterhelfen oder ein paar Antworten liefern ;-)

Mit freundlichen Grüssen

finalcu

Halli finacu.

Die "Macht" braucht dich nicht schockieren sondern deine, mit Verlaub, Blauäugigkeit ;).

FireFox und Windows sind gut, können dich aber nicht vor deinen Fehlern schützen.
Wenn du bessere Software suchst dann wirst du hier fündig.

Lasse bite Anti-Malware und SuperAntiSpyware laufen.

Poste danach ein Hijackthis log.

Hallo undoreal

Erstmals danke für deine rasche Antwort. Hast du mir noch einen Tipp wie ich mir die Software herunterladen kann ohne dass die Malware mich daran hintert. Wenn ich die beispielsweise die Anti-Malware oder Hijack This Software downloaden möchte heisst es dass der Server nicht gefunden werden kann...!

Gruss,
finalcu

Warte. Dann machen wir das anders. Mom...

[EDIT]: So. Dann lasse bitte zuerst Combofix laufen. Poste den erscheinenden Text. Dein AntiViren Programm sollte solange abgeschaltet sein.

Wie lautet das Passwort um das Programm zu entzippen?

Danke.

infected

Sorry, hab' ich vergessen.

"ComboFix has detected the presence of rootkit activity and needs to reboot the machine!"

Ok, das hat geklappt! Die Malware scheint beseitigt zu sein (zumindest ist der Desktophintergrund wieder da). Ich habe das log File versehentlich geschlossen aber ein File namens ComboFix.txt gefunden welches folgenden Text beinhaltet:

handelt es sich hier um das richtige File?

Gruss,
finalcu

Das dachte ich mir fast.

Jap!

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Lasse danach Anti-Malware und SuperAntiSpyware laufen.

Danke dir! Hier sind die zwei logs:

und das von gmer:

(Fortsetzung folgt)

Gruss,
finalcu

und hier noch das log von malwarebytes:

O.k. und nun nochmal Combofix.

Ok, getan, ich habe das log file angehängt!

Wie geht's deinem Rechner? Auffälligkeiten? Poste bitte noch ein abschließendes Hijackthis log.

Hier ist noch das HijackThis Log file:

Herzlichen Dank nochmals für deine Hilfe. Dem Rechner geht es gut, es ist mir nichts mekrwürdiges aufgefallen...

Gruss,
finalcu