lebensnetz

Infektion mit Trojaner

Recommended Posts

Hallo liebes Team von Emsisoft,

ich bin grad sehr dankbar, euer Emergency Kit zur Hilfe gehabt zu haben! Gestern habe ich mit Anti-Malware gescannt und ein Trojaner konnte nicht entfernt werden. Heute ging fast gar nichts mehr mit dem guten Laptop. Anti-Malware hat weder im normalen noch im abgesicherten Modus funktioniert. Webseiten aufzurufen hat auch nicht mehr funktioniert, ich bin froh, noch einen anderen PC hier zu haben.

Netterweise konnte ich so mit beiden Scannern (dem Kit und OTL) im abgesicherten Modus scannen, sodass ich hier mit bitte um eure Hilfe die 3 Reportdateien anhänge. Ich bin mir nicht mal sicher, ob es der gleiche Trojaner wie gestern ist, ich glaube die Nummerierung war anders.. Nun ja, wir werden sehen!

 

Ich freu mich auf eure Rückmeldung und danke sehr im Voraus!

Conny

 

PS: Ich hänge auch noch die Fehlermeldung für Anti-Malware im abges. Modus an, vielleicht nützt das euch irgendwas?

Sind die Informationen / gefundenen Schaddateien eigentlich anders im abgesicherten Modus?

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Bitte beide Logfiles in der nächsten Antwort anhängen.

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

  • Starte die TDSSKiller.exe
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.

    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )

    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Share this post


Link to post
Share on other sites

Hollaro,

 

danke für deine Antwort.

Ich hab grad nochmal, was ich konnte im Normalmodus (nicht abgesichert) wiederholt. Ich hänge die Ergebnisse unten an. Da ist noch ein weiterer Trojaner, der von gestern, den ich nicht entfernen konnte. Leider konnte ich keinen Bericht erstellen (Fehlermeldung, voll die Macke grad bei allem..), deswegen hier nur ein Screenshot für die Location und den Trojanernamen. Ändert das was an der Vorgehensweise? Ich vermute nicht?!

 

Dankesehr!

Conny

Share this post


Link to post
Share on other sites

Hi,

 

14:01:24.0287 0x3e1c  472284fda1835b5a ( Rootkit.Win32.Necurs.gen ) - skipped by user

Starte TDSSkiller.exe mit Doppelklick.

Vista und Win7 User mit Rechtsklick "als Administrator starten"

  • Drücke auf Start Scan.

    Mache während dem Scan nichts am Rechner

  • Gehe sicher das Cure ( default ) angehackt ist !
  • Drücke Continue --> Reboot.
  • TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )

    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

    Poste den Inhalt bitte hier in deinen Thread.

Share this post


Link to post
Share on other sites

hallo,

 

so, das rootkit scheint runter zu sein, die log-datei ist im anhang. wie geht's weiter?

 

danke und schönes wochenende

(ungewöhnlich, dass ich von euch auch am wochenende antwort kriege!),

conny

 

Share this post


Link to post
Share on other sites

ungewöhnlich, dass ich von euch auch am wochenende antwort kriege

Ich antworte eigentlich immer, egal welcher Wochentag :)

 

Bitte nochmal einen Scan mit TDSSKiller machen, zur Kontrolle.

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.

    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.

    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.

    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Share this post


Link to post
Share on other sites

hey,

 

super unterstützung, danke!

 

tdsskiller sagt, dass alles sauber ist.

combofix installierte zwar die wiederherstellungskonsole, bringt allerdings offenbar keinen scan zustande. zumindest hab ich's jetzt schon mehrmals mit viel geduld versucht, und von 10 min, auch 30 min oder mehr dauer des scans kann keine rede sein. da tut sich nichts...oder er wird nicht fertig damit? es gibt jedenfalls keine fortschritte ab dem punkt "suche nach infizierten dateien... [..] scanzeit .. kann sich verlängern."

virensoftware war deaktiviert, keine ahnung, warum es nicht funktioniert.

was nun?

 

Share this post


Link to post
Share on other sites

Sieht schon sehr viel besser aus.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche, dann Löschen..
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[s1].txt.
Nun bitte einen frischen Scan mit Emsisoft AntiMalware und FRST machen und beide Logfiles anhängen. Bestehen noch Probleme mit dem System?

Share this post


Link to post
Share on other sites

im anhang die logfiles vom adwcleaner, antimalware (noch nix gelöscht) und frst. der eine trojaner ist also demnach noch drauf. kann ich das jetzt löschen? du hast nur von scan gesprochen, deswegen hab ich jetzt noch nichts gelöscht.

normalerweise lösche ich gefundenes gleich, oder? wann wähle ich nur quarantäne?

 

der rechner läuft trotzdem schon viel besser, ich glaube besser seit der adwcleaner-aktion.

 

danke erneut bis hierher. :)

Share this post


Link to post
Share on other sites

Quarantäne ist allgemein immer ausreichend, so kann man auch eine evtl Fehlerkennung wiederherstellen :).

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

C:\WINDOWS\Installer\{713F962A-0B96-8D08-96D0-CBBA769A4C6C} 
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

Share this post


Link to post
Share on other sites

na das sieht doch nett aus!

 

und der andere fund, in der registry, ist nicht kritisch, oder?

noch was zu tun? nochmal antimalware?!

 

...kann ich irgendwann die dateien in quarantäne löschen? ist doch auch müll aufm pc, oder?

 

also, der computer läuft wieder ganz gut, denke ich. komischerweise hat sich mein powerpoint verabschiedet. hast du dazu ne idee?

Share this post


Link to post
Share on other sites

Ehm, spontan nicht. Schon mal versucht einfach neu zu installieren?

Quarantäne kannste löschen, den anderen Fund einfach auch in Quarantäne stecken. Dann zum Schluss nochmal einen frischen Scan mit FRST, dann räumen wir auf :)

Share this post


Link to post
Share on other sites

hi,

na, ich kümmer mich um ppt. ich glaub, die verlinkung haut nur nicht hin, was auch immer das verdreht hat.

irgendwas ist noch faul mit dem laptop. ich war gestern das erste mal wieder kurz im internet damit, und danach war er wieder aaarg langsam, irgendwo hängt's da noch. anti-malware findet aber nichts neues außer dem registry ding. gibt's noch was, was ich da derweil tun kann? scan ist noch in arbeit, poste ich dann gleich.

du bist hier vorwiegend abends unterwegs, oder?

 

danke und bis gleich!

Share this post


Link to post
Share on other sites

hollaro,

 

antimalware findet nichts mehr. allerdings hat es sich in der zwischenzeit 2x aufgehangen...

ich hänge das logfile von FRST vom anschließenden scan mit an.

also der laptop ist immer noch aaarg langsam. an schädlingen scheint es ja nicht mehr zu liegen, oder? hast du noch nen tipp für mich?

 

dankesehr und gute nacht.. -.-

Share this post


Link to post
Share on other sites

ich hab grad entdeckt, dass im taskmanager ein riesenspeicherfresser mit oftmals monsteranteil a2service.exe ist. gehört das zu eurer software? ist es normal, dass das soviel "frisst"?

ich hatte jetzt mehrfach den fall, dass ich nach ein bisschen scan weder den taskmanager öffnen noch gepflegt (über startmenü/taskmanager..) runterfahren konnte. irgendwas stinkt hier...

=)

Share this post


Link to post
Share on other sites

Das gehört zu unserer Software, ja. Kannst Du mir von dem Taskmanager bitte mal einen Screenshot machen?

Wann genau ist er denn langsam? Nur im Internet/Browser, oder auch so wenn Du Programme öffnen und arbeiten willst?

Share this post


Link to post
Share on other sites

hi,

screenshot ist im anhang. gestern waren es bis zu 95 & CPU-auslastung.

er ist auch langsam mit den programmen ja.. dauert alles ewigkeiten...zum ausrasten.. :(

frst war okay?

Share this post


Link to post
Share on other sites

alles gemacht. leider sieht es nach neuinstallation wieder genauso schlecht aus wie vorher. :( ich häng wieder nen screenshot vom taskmanager an, entsprechend langsam war's da grad.

nach deinstallation war alles fix. - und nun?

Share this post


Link to post
Share on other sites

Ok, versuchen wir noch ein paar Sachen. Bevor wir weiter am Speed arbeiten müssen wir erst noch enorme Sicherheitslücken schliessen.

Bitte Java 2 Runtime Environment, SE v1.4.2_03 deinstallieren. Dieses Java ist so alt wie dein XP, das geht eigentlich gar nicht. Java muss immer aktuell sein.

Versuche jetzt bitte Combofix vom Desktop zu löschen, neu zu laden und nochmal laufen zu lassen.

Share this post


Link to post
Share on other sites

hello,

java hab ich deinstalliert. soll ich eine neuere version installieren?

 

mit combofix hab ich das gleiche problem wie beim letzten mal, es scannt nicht, jedenfalls zeigt es keinen fortschritt an, auch nich nach einer halben stunde. das ist schon ungewöhnlich, oder? ich hatte mal nach dem problem gesucht und gefunden, dass ich im task manager bestimmte prozesse beenden kann (http://www.bleepingcomputer.com/forums/t/306113/combofix-simply-will-not-scan/), aber das wollte ich jetzt selbsttätig lieber nicht tun.

 

solange die malware-wächter für den combofix deaktiviert waren, war der rechner auch wieder schneller.

 

was kann ich denn jetzt tun, da das nicht funktioniert hat? ...ich würd echt gern auch mal wieder mit dem rechner arbeiten können.. :/

 

dankesehr! :)

Share this post


Link to post
Share on other sites

Hi,

ok, da müsste ich kurz tiefer schauen, da wird irgend ein anderes Programm dazwischen funken. Dar fich mir den Rechner mal per Fernwartung anschauen? :)

Share this post


Link to post
Share on other sites

hi,

na klar. wie schaltest du dich denn auf? es wird möglicherweise super langsam sein, wenn ich malware aktiv lasse --> deaktivieren erstmal?

achso, und wann denn? wenn es nicht lang dauert, was wsl. vorher nicht gut absehbar ist?, hätte ich in ca. ner halben stunde zeit. mehr luft hab ich morgen tagsüber (zeit egal) bzw. wenn wir nen termin machen auch abends. :)

 

dankesehr!

Share this post


Link to post
Share on other sites

Ich hab morgen um 13 und 16 Uhr bereits ne Fernwartung. Also ich richte mich nach Dir, vorher oder danach :).

WIr machen das per Teamviewer, genauere Instruktionen würden dann noch folgen. Ich denke wir brauchen so 30 Minuten.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.