Browser lassen sich nach Troj.-Befall nicht öffnen windows\system32\svchost.exe Trojan.Downloader
 

Hallo miteinander,

ich habe ein hartnäckiges Problem auf einem Rechner, welcher einen Trojaner-Befall hat/hatte. Auch nach durchlaufen aller Programme und Tools gemäß der Anleitung hier, ist es weiterhin so, dass sich sowohl Internet Explorer als auch Safari nicht öffnen lassen. Beim InternetExplorer war es teilweise so, dass er sich gleich wieder geschlossen hat oder abgestürzt ist (MS-Windows-Fehlermeldung).

Bevor ich die Tools gemäß der Anleitung hier genutzt habe, hatte ich bereits einmal MBAM laufen lassen. Daher habe ich im Anhang zwei Logfiles von MBAM. Daneben habe ich unter Software eine Zylon-Toolbar installiert und ein Programm "Uninstall 1.0.0.1".
MBAM hat bei einem zweiten Durchlauf nichts mehr gefunden, aber weiterhin bestand die Problematik, dass sich der InternetExplorer nicht öffnen ließ. Dabei fiel mir auf, dass die Norton Internet Security beim Versuch diesen zu öffnen einen Angriff über die Datei c:\windows\system32\svchost.exe meldete. Dies ist auch der Grund, warum diese von mir temporär auf _svchost.exe umbenannt wurde.

Danach habe ich die Vorgehensweise gemäß Eurer FAQ vollzogen und dementsprechend lade ich im Anhang die Logfiles hoch.

Ich danke Euch bereits im Voraus für Eure Hilfe.

Viele Grüße


Heiko

P.S.: Ich habe versucht alle Eure Regeln und Anforderungen die Ihr zu Recht an einen Hilfesuchenden stellt versucht zu befolgen. Sollte ich etwas übersehen haben, so bitte ich um Nachsicht und einen dementsprechenden Hinweis, dass ich darauf im weiteren Verlauf achten kann.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

herzlichen Dank für die Hilfe!
Habe den "Fix" wie beschrieben mit dem benutzerdefinierten Text von Dir durchgeführt.
OTL wollte einen Neustart, nach welchem der Nachfolgende Text in einem Log angezeigt wurde. Ich habe den Rechner weiterhin nicht ans Netzwerk angeschlossen. Internet Explorer hat sich nach dem anklicken geöffnet, hängt allerdings mit Sanduhr. Safari ließ sich öffnen. Internet Explorer bei einem zweiten Versuch nach killen der iexplore-Prozesse auch. Allerdings bei einem weiteren Versuch hing er wieder.

Danke schon mal für weitere Hilfe und Input, ob ich noch etwas in Sachen Problembehebung machen muss, was die Schadsoftware angeht oder ob ich wieder ans Netz kann und ggf. den Internet Explorer neu installieren muss?!

Viele Grüße


Heiko

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

herzlichen Dank. Habe Deine Anweisungen befolgt und schilder nachfolgend in kurzer Zusammenfassung, da ich hoffe alles korrekt verstanden und durchgeführt zu haben:
Habe erst den CCleaner ausgeführt (erst Cleander, dann Registry mehrfach mit Sicherungen). Nachdem alles behoben war, habe ich wie empfohlen Combofix als cofi.exe umbenannt gestartet. In meinem Fall wollter er die Wiederherstellungskonsole installieren, weswegen ich kurz das Netzwerkkabel für die Internetverbindung angeschlossen habe. Nach erfolgter Installation hat Combofix gestartet und konnte einen Rootkit auffinden, weswegen es zu einem Neustart aufgefordert hat. Bei diesem habe ich auch die Gelegenheit genutzt und das Netzkwerkkabel wieder abgezogen. Nach dem Neustart ist Combofix weiter durchgelaufen. Ich habe dabei den Hinweis befolgt keine weiteren Programme zu starten. Da auch der Hinweis dabei war währenddessen keine Maus und Tastatur zu nutzen, habe ich Autostartprogramme nicht manuell abgebrochen, sondern ganz normal starten lassen und gar nichts am Rechner gemacht. Hoffe das ist richtig so oder hätte ich die Autostartprogramme schließen sollen?

Das Logfile von Combofix poste ich nachfolgend:
[CODE]
Combofix Logfile:
--- --- ---


Herzlichen Dank vorab für weitere Hilfe.

Viele Grüße



Heiko

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Habe Combofix mit dem Script ausgeführt. Es wurde erneut ein Rootkit erkannt und neu gestartet. Nach dem Durchlaufen des Programms wurde die nachfolgende Logdatei angezeigt:

[CODE]
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Vorgehensweise wie beim letzten Mal. Logfile nachfolgend:

[CODE]
Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Dankeschön. Nachfolgend die gewünschten Logs



GMER Logfile:
--- --- ---



OSAM-Log:

OSAM Logfile:
--- --- ---

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/CODE]

MBRCheck-Log:

Hast Du außer WinXP noch andere Betriebssysteme installiert?

Nein bisher nicht (auf diesem Rechner).

Hätte das einen Vorteil oder fragst Du wegen einem Log und suchst nach einer Erklärung?
Falls letzteres der Fall ist - es war ein USB-Stick (Cruzer) am Rechner auf welcher eine Funktion hat, die ein CD-Rom-Laufwerk (und ggf. auch ein OS?!) emuliert.

Wir müssen den MBR neu schreiben. Deswegen.

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Hoffe das ist jetzt keine "saudumme Frage" und begebe mich mal noch gleich auf die Suche, aber welches der Programme, die ich bisher genutzt habe ist der Bootkit Remover? Oder kann es sein, dass ich das bisher noch nicht genutzt habe und es das unter folgendem Link ist?:

hxxp://www.trojaner-board.de/86574-bootkit-remover.html

Ups sry, ich poste bei bestimmten Sachen Standardtexte. Ich meinte natürlich mbrcheck, bootkit remover kommt ran wenn er ran muss :blabla:

Ups -keine Ursache. Verständlich, dass Du/Ihr mit Standardtexten arbeitet. Allerdings hoffe ich, dass ich nichts falsch gemacht habe, da ich dachte jetzt mal selbständig was zu tun, nachdem ich gelesen habe, dass das von Dir genannte Tool nur Veränderungen ausliest und nichts verändert. :headbang:
Habe es ausgeführt. Daher poste ich Dir zum einen das Log des Bootkit Remover, den ich eben leider schon ausgeführt hatte und dann nochmals das neue Logfile von Mbrcheck.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Super Danke! Werde ich gleich machen. Allerdings parallel noch eine Frage, ob ich danach auch nochmals sehen muss. Du fragtest vorher wegen dem weiteren installierten Betriebssystem. Als ich mich in der Wiederherstellungskonsole angemeldet habe, um Fixmbr und Fixboot auszuführen, war da zur Auswahl:
1) F:\Windows
2) C:\Windows

Ich habe sinnigerweise die Wahl 2 getroffen. Dürfte sich die Auswahl durch die vorgenommenen Änderungen der Tools geändert haben oder muss ich da nochmals nachsehen und ggf. manuell nachsteuern?

Hier die Logfiles:

Hm das erstaunt mich jetzt aber, dass SASW da in der ndisprot.sys was gefunden hat während kein anderes Tool da vorher drin was sah :dummguck:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

es gibt eben nichts, was es nicht gibt und interessant zu wissen, dass es auch noch Dinge gibt, die für den Profi verwunderlich sind. ;)

Danke für Deine Hilfe.

Nachfolgend das Log von Combofix mit dem letzten CFScript:

Mach bitte nochmal nen Vollscan mit SASW und schau ob der immer noch den angeblichen Schädling in der ndisprot findet.

Hallo Arne,

nachfolgend das Log - nur noch Adware Tracking Cookies hört sich gut an - oder?
Soll ich nochmals etwas gezielt auf die betroffene dll etwas untersuchen und unternehmen?
Denkst Du bitte auch noch an die Frage zwecks der zwei angezeigten Betriebssysteme in der Wiederherstellungskonsole?

Herzlichen Dank schon mal vorab für Deine Bemühungen.

Viele Grüße


Heiko

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Also mir ist nichts mehr bekannt und aufgefallen, allerdings habe ich auch kein weiteren Vollscan oder ähnliches mehr durchgeführt. Der Rechner läuft jetzt gerade wieder mit der Norton Internet Security 2011, die auf ihm drauf ist und welche nochmals aktualisiert wurde.

Soll ich nochmals einen Vollscan sicherheitshalber machen? Mit MBAM oder SuperAntispyware?

Vielleicht hast Du es überlesen oder es ist für mich auch okay, wenn mir dazu nichts sagen kannst, kann auch nicht beurteilen wie der Zustand vor dem Trojaner-Befall war, aber ich hatte ja noch die Besonderheit, dass obwohl nur ein System installiert ist in der Wiederherstellungskonsole zwei angezeigt wurden (einmal c:\windows und einmal f:\windows) und weiß nicht, ob das auch noch etwas Auffälliges ist, was zu berücksichtigen wäre.

Würde ich von abraten. Nimm wenn überhaupt nur einen reinen Virenscanner ohne Firewallkomponente, als Firewall die Windows-Firewall gf. mit DSL-Router.

Brauchst Du nicht, aber es schadet auch nicht.

Ein Laufwerk F. hast Du doch so garnicht. Wurde es nur in der Wiederherstellungskonsole angezeigt?

Würde da gerne nochmals nachhaken: Also ihr empfehlt praktisch so Internet Securitys gar nicht, sondern sagt ein ein Virenscanner reicht total aus. Hast Du da einen Tip, welcher oder welche sich gut machen?
Und was meinst Du mit überhaupt? Hältst Du sogar einen Virenscanner für überflüssig?


Na dann werde ich damit mal noch einen machen, aber brauchst Du nicht sagt mir, dass wir ein hoffentlich wieder sauberes System haben. Danke Dir recht herzlich. Muss/sollte man als User diesen Thread dann irgendwie als "gelöst" markieren? Wenn ja wie?
Ich danke Dir an der Stelle auch nochmals ganz herzlich für Deine Hilfe! Kann man auch im Board nochmals mit irgendeinem "Danke-System" oder Bewertungssystem den Dank zum Ausdruck bringen?

Ja genau - lediglich in der Wiederherstellungskonsole ist der Eintrag vorhanden, wenn man sich an einem bestehenden Windwos-System mit dieser anmeldet. Ein solches Laufwerk besteht im Grunde nicht auf dem Rechner und daher ist es für mich fraglich, ob das auch noch etwas sein kann, auf das man achten und ggf. beseitigen muss oder ob das lediglich irgendein überbleibsel von einem Eintrag ist, den ich getronst auch lassen oder ggf. im Bootmanager löschen kann?

Ein Virenscanner ist nicht überflüssig aber auch nicht unbedingt notwendig.
Für den reinen Privatgebraucht kannst Du sowas wie Avast, AntiVir PE oder AVG nehmen. Auch MS Security Essentials wäre als Altnernative da.

Nein muss man nicht.

Wenn es nur in der Wiederherstellungskonsole ist, kannst es ignorierten.
Sonst noch Probleme oder andere Funde in der Zwischenzeit?

Hallo Arne,

herzlichen Dank nochmals für alles. Das Problem betrachte ich für mich als solches als gelöst und danke Dir für Deine Hilfe!

Abschließend nochmals eine generelle Frage, da wegen dem Hinweis in Sachen Virenscannern bzw. Internet Securitys und nachfolgend das Logfile von Norton, da Du nach weiteren etwaigen Funden gefragt hast - gehe aber davon aus, dass man hier nicht mehr von weiteren Funden sprechen kann:

Okay und Du emfpiehlst keine Internet Security, das sie eben im Grunde unnötig Geld kostet und anderes ausreicht oder Du hältst Sie auch in Sachen Schutz sogar kontraproduktiv?

Wenn ich keinen Virenscanner drauf habe, wie merke ich dann, dass ich mir etwas eingefangen habe? Mich hat ja auch mehr oder weniger Norton darauf aufmerksam gemacht, dass mit diesem Rechner etwas nicht stimmt und dazu kamen dann noch nach und nach die Probleme, dass sich die Browser nicht mehr funktionierten.



Ich werde nochmals MBAM und SuperAntispyware mit einem vollständigen Scan darüber laufen lassen und die Logfiles posten, falls es bei diesen noch weitere Funde gibt.

Die Norton Internet Security gibt noch den ein oder anderen nicht autorisierten Zugriff aus - deren Urheber soweit ich es überblicken kann bekannte auf dem Rechner installierte Programme sind (Googleupdate, Acer). Lediglich bei der windows\system32\services.exe bin ich mir unsicher, ob das zu beachten ist. Daher mal nachfolgend das Logfile:

Norton-Internet-Security-Logfile:

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Indem Dein Konzept schon einen Befall verhindert, kommt es erst garnicht zu einer Infektion.
Siehe o.g. Link von Malte J. Wetz und Computersicherheit - Virenscanner