Wurm: C:\windows\system32\x Conficker
 

Hallo,

Antivir zeigt mir immer wieder den Fund C:\windows\system32\x an, kann diesen aber nicht löschen.... egal ob ich das ganze in Quarantäne verschiebe, Lösche... kommt ständig wieder.

Hier ist mein Hijack Logfile:
Und hier ist mein Logfile von Anti Malware:
Das mit dem "delete on reboot" hat auch nich geklappt.
Ich hoffe mir kann jemand helfen. Ich hab leider nicht viel Ahnung und weiß auch nicht inwiefern dieser Wurm nicht nur stört sondern auch gefährlich ist.
Für Hilfe wäre ich sehr dankbar.

Hallo und Herzlich Willkommen! :)

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

gruß
Coverflow

Hallo Coverflow,

vielen Dank, dass du dich um mein Problem kümmerst!
Konnte leider am Wochenende gar nichts machen, aber jetzt neu ans Werk.
Ich habe alle Schritte befolgt, allerdings wird die Ausführung von GMER verhindert, es öffnet sich kurz, aber dann kommt nach wenigen Sekunden:
"y14wz2f2.exe hat ein Problem festgestellt und muss beendet werden.":(
Antivir und Windows Firewall waren deaktiviert und vom Netz getrennt war der Rechner auch.
Scheint ein intelligents Kerlchen zu sein, dieser Wurm.
Vielleicht kannst du trotzdem noch helfen?
Ansonsten muss ich mich meinem Schicksal ergeben und neu aufsetzen.

Hier noch die Filelist der letzten 6 Monate:
Und meine Programmliste vom CCleaner

hi

entlasten wir zuerst mal dein System:
1.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
2.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

6.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

So da wärn wir wieder. Alles erledigt.
Danke auch für die Systementlastungstipps. Ich bin da leider gar nicht fit und bei mir sammelt sich auch einiges auf dem Rechner...
Hier jetzt das Log vom Kaspersky Scan:

E:\ ist mein MP3 Player, L:\ meine Externe Festplatte. Mehr hab ich nicht in Benutzung.
Dieses Recycler Ding ist auch etwas unangenehm, hat soviel ich mitbekommen habe den Zugriff auf die Datenträger über den Arbeitsplatz verhindert. Musste manchmal über die Windows Such in die Ordner rein... Keine Ahnung was das ist...

Scheint einiges im Argen zu sein. Irgendwie poppte letztens auch ein Dropper.Gen auf...
Bin ja gespannt ob und wie's weitergeht;)
Ich kann mich nur wiederholen: Vielen lieben Dank für deine Mühe!
Liebe Grüße nach Österreich

hi

Punkt 5. - fehlt noch-> http://www.trojaner-board.de/80012-w...tml#post485521

Oh sorry,
hab ich vergessen zu posten, war nach dem Scan dann schon etwas müde.
Also hier noch die Sachen von Root Repeal:

Drivers:

Hidden Services:
Stealth Objects

Hoffe das war jetzt alles!

hi

wie es aussieht, dein System nicht nur einfach mit Autorun infiziert:
Festplatten, die mit dem Virus "Virus.Win32.AutoRun" befallen waren/sind - Die sind Malware, die sich über externe Datenträger verbreitet
sondern auch von einem Rootkit befallen.
Also wirst du wohl um eine Formatierung deines Systems kaum herum kommen, da dein System extrem verseucht ist!:o

Bevor Du es machst, würde ich noch 2 Tools laufen lassen, zwar:

1.
Externe Medien desinfizieren und absichern

Schalte Antiviren-Programm und Firewall ab, da der Flash_Disinfector irrtümlich von manchen Anti-Virus-Programmen als Schädling erkannt wird, was er aber nicht ist. Lade Flash Disinfector von sUBs herunter und speichere die Datei auf Deinem Desktop.

• Bitte trenne den Rechner vom Netz (WLAN nicht vergessen).
• Alle vorhandenen USB-Sticks, externen Festplatten und sonstige externe Medien anschließen.
• Starte die Flash_Disinfector.exe durch Doppelklick. Folge ggfs. den Anweisungen.
• Dein Desktop wird kurzfristig verschwinden und dann wiederkommen, das ist normal.
• Warte, bis das Programm den Scan beendet hat, dann schließe das Programm.
• Starte den Rechner neu.

Lasse die externen Medien noch am Rechner angeschlossen und mache nun zur Kontrolle einen Onlinescan mit dem Kaspersky-Online-Scanner nach dieser Anleitung und poste mir das Logfile hier in den Thread. Vergesse nicht, bevor Du wieder online gehst, Antiviren-Programm und Firewall wieder einzuschalten!

Was Flash_Disinfector tun wird: Flash_Disinfector wird Deine Laufwerke von schädlichen autorun.inf-Dateien befreien und zum Schutz vor Neuinfektion an ihre Stelle einen versteckten Ordner mit diesem Namen anlegen. Bitte diese Ordner nicht löschen! Sie schützen davor, dass die sich die Autorun-Infektion erneut installieren und andere schädliche Software laufen lassen kann

2.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von Gmer herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Über solche Nachrichten freut man sich doch richtig! Also doch der Todesstoß! :snyper:Trotzdem danke für all deine Bemühungen. Ich denke ich habe auch das ein oder andere lernen können.
Hab heut noch eine Prüfung zu schreiben, danach werd ich mich meiner großen Aufgabe widmen;)

Nur noch 3 Fragen:
-Mein Bruder hatte meine externe Festplatte in Benutzung bei der Datensicherung bevor er Windows 7 installiert hat. Was sollte der jetz machen? Oder hat er sich nicht zwangsläufig infiziert?

- Wie siehts aus mit Online-Banking? Ich hab die Infektion ja nicht gleich bemerkt. Sollte ich mich mit der Bank in Verbindung setzen, oder einfach nur Passwörter ändern, nach der Neuinstallation? Oder ist das nicht nötig?

-Mir fällt grad noch meine SD Speicherkarte vom Fotoapparat ein, den ich meiner Mutter am WE geben wollte, besteht da auch Gefahr? Muss ich die mit bereinigen?

Lieben Dank nochmal.
Lass es uns zu Ende bringen;)
Wünsch dir noch einen schönen Tag

und nun noch kaspersky online scan

und das mbr.log

nachhinein schwer zu sagen, aber würde ich auf jeden Fall ein paar Online-Prüfung empfehlen-> (benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
Wichtig! - der AUTORUN-Funktion kurzfristig verhindern:
- bei anschließen die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird

- mit der Bank in Verbindung setzen - würd ich ja machen
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen

wie bei deine externe Festplatte, anschließen und online scannen lassen!

Also dein MBR ist in Ordnung, kann`s los gehen...
- Daten sichern: Vorsicht mit Datensicherung!: ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.

Tipps & Hilfe:
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net
Windows XP neu installieren/computerleben.net