Ratlos über Virenbefall

A

Anonymous

Hallo!

Ich versuche jetzt schon den halben Tag, Viren und Trojaner von einem Computer zu entfernen und bin mittlerweile ziemlich ratlos.
Vorgeschichte: Computer wurde im abgesicherten Modus gebootet und mit Spyware Search und Destroy sowie zwei verschiedenen Virenscannern von verschiedenen Sachen befreit. Nach dem Reboot schien auch alles wieder normal zu sein (AVGUARD meldete auch keine Infektionen mehr).
Anschließend habe ich das Microsoft Windows Update aufgerufen und das Service Pack 2 runterladen und installieren lassen. Nach dem nächsten Reboot war alles schlimmer als vorher. Anscheinend waren wieder mehrere Viren aktiv, irgendwelche dubiosen Programme wurden automatisch runtergeladen und gestartet. Und jetzt lässt sich noch nicht mal mehr scannen. Anti-Viren-Programme und Spyware Search and Destroy brechen ab. Die Windows-Firewall lässt sich nicht aktivieren.
Im abgesicherten Modus finden Online-Scanner nichts.
Hab dann Hijackthis laufen lassen -> alle Browser-Helper-Objects entfernt. Und den Nameserver, der offensichtlich auf einen anderen Wert geändert wurde, wieder zurück geändert.
Die Anti-Viren-Programme + Anti-Trojaner brechen aber nach wie vor beim Scannen ab, die Windows-Firewall lässt sich auch immer noch nicht aktivieren.
Würde gern das aktuelle Hijack-This-Logfile hier hochladen, aber das aktivieren von meinem Benutzeraccount funktioniert nicht (nehme mal an, daß nur angemeldete Benutzer Attachments an Nachrichten anhängen können?).
Weiß trotzdem jemand Rat?
 
Danke, das hat mir wesentlich weitergeholfen!
Durch die Auswertung wußte ich, daß auf dem Computer noch zwei Malware-Programme drauf waren: "SpySherrif" und "Attune". Hab die entsprechenden Registry-Schlüssel und .exe-Dateien vom Computer getilgt.

Jetzt findet AVGUARD keine Viren mehr, auch installieren sich keine Programme mehr von selbst, der Taskmanager sieht sauber aus.
Aber: Die Windows-Firewall lässt sich nicht aktivieren ("Dies ist über eine Gruppenrichtlinie festgelegt" - obwohl es ein 1-Benutzer-Computer ist) und 'Spyware Search and Destroy' bleibt beim Scannen immer an derselben Stelle stecken (Bei Überprüfung der Nr. 637 von 30 000) - das Programm ist dann wie eingefroren ohne weiterzumachen.
Sind das Hinweise darauf, daß versteckt auf irgendeine Weise noch ein Virus aktiv ist, oder hat das ganze harmlosere Gründe?
 
Grübel / Ratlos schrieb:
Die Windows-Firewall lässt sich nicht aktivieren ("Dies ist über eine Gruppenrichtlinie festgelegt" - obwohl es ein 1-Benutzer-Computer ist)
Vermutlich hat der Virus mindestens einen der folgenden Registry Einträge gesetzt:
Code:
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile \EnableFirewall=0 (DWORD data type)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile \EnableFirewall=0 (DWORD data type)
Ersteren Eintrag löschen, beim zweiten Eintrag wäre EnableFirewall auf den Wert '1' zu setzen. Danach Rechner neu starten.
und 'Spyware Search and Destroy' bleibt beim Scannen immer an derselben Stelle stecken (Bei Überprüfung der Nr. 637 von 30 000) - das Programm ist dann wie eingefroren ohne weiterzumachen.
Versuche es mal mit MS Antispyware:
http://www.microsoft.com/athome/security/spyware/software/default.mspx
 
Ewido findet außer einigen Viren, die sonstige Anti-Virus-Programme vorher ebenfalls gefunden hatten, den folgenden:
TrojanDownloader.Agent.uj
Dieser scheint die restlichen (einfacher zu entfernenden) Viren immer nachzuladen.
Er ist aber auch der einzige, der sich selbst im abgesicherten Modus nicht entfernen lässt. Ewido meldet über den:

Name / Pfad / Status:
-------------------------
TrojanDownloader.Agent.uj / [1596] VM_009E0000 / Fehler beim Säubern
TrojanDownloader.Agent.uj / [588] VM_00C00000 / Fehler beim Säubern
TrojanDownloader.Agent.uj / [564] VM_034E0000 / Fehler beim Säubern

Nun frag ich mich: Was ist z.B. "[1596] VM_009E0000" für ein Pfad?
Bei den unproblematischen Viren wird da ein ganz normales Verzeichnis
oder ein Registry-Key angezeigt.
Und warum kann der Virus selbst im abgesicherten Modus nicht von diesem Ort entfernt werden?
Warum kann der sich vor "HiJackThis" verstecken?

MSAntiSpyware lässt sich im abgesicherten Modus nicht installieren. Den normalen Modus will ich jetzt aber nicht booten, weil dann gleich wieder die ganzen anderen Viren vom "TrojanDownloader" nachgeladen werden.

Die Registry-Keys für die Windows-Firewall existieren laut regedit.exe gar nicht?! (Unterhalb von "Microsoft" existiert nur "System Certificates")
Hatte vorhin versucht ZoneAlarm runterzuladen (im normalen Modus). Aber während man auf anderen Seiten "normal" surfen kann, erscheint auf allen Downloadseiten, die Zonealarm anbieten, anstatt der richtigen Seite entweder Porno- oder Ebay-Werbung.
 
Als erstes ist die Systemwiederherstellung zu deaktivieren, da sich dieser Geselle dort einnistet und ständig wiederhergestellt wird.

Neustart im abgesicherten Modus und noch einmal mit Ewido ran.
 
Die Systemwiederherstellung hatte ich schon gestern deaktiviert und seitdem nicht mehr angerührt - daran kann es also nicht liegen?
 
Großartig!
Da der Trojan.Downloader gemeldet wird, aber aus dem HJT-Log nicht hervorgeht, ist davon auszugehen, dass der Trojaner sich selbst verbirgt.

Du kannst also nie sicher sein, dass Du die Büchse jemals wieder sauber bekommst, da der Trojaner sich permanent updatet und weitere Komponenten aus dem Netz nachlädt.

Einen Versuch kannst Du noch starten:
1. http://www.mwti.net/antivirus/free_utilities.asp downloaden und auf dem Desktop ablegen
2. Kaspersky-Trial downloaden und auf dem Desktop ablegen
http://www.kaspersky.com/trials
============================================
Sollten die Downloads scheitern, dann das hosts-File suchen und bereinigen
============================================
3. den Rechner vom Netz trennen
4. Start im abgesicherten Modus (ohne Netzwerktreiber) und deaktivierter Systemwiederherstellung; den Browser und den Explorer nicht starten
5. alle Temp und TemporaryInternetFiles Ordner leeren (MS-DOS Konsole und über den dir-Befehl navigieren)
6. dann die beiden Scanner drüberlaufen lassen und hoffen, dass der Kaspersky das Teil plattmacht

Wenn nicht, kannst Du den Rechner nur noch neu aufsetzen.
 
Eben hatte ich einen Einfall.
Es scheint ja so, daß der Trojan.Downloader.Agent.uj es auf irgendeine Weise schafft, selbst im abgesicherten Modus mitgestartet zu werden (weil er in diesem von Ewido im Speicher gefunden wird, auf der Festplatte aber nicht -> kann sich verstecken).

Jetzt hab ich mal auf einem anderen, sauberen PC mit "BartPE" eine saubere Windows-Boot-CD erstellt. Diese habe ich auf dem infizierten Computer gebootet, das Netzwerk eingerichtet und anschließend den Ewido-Online-Scan gestartet.
Diesmal findet er den TrojanDownloader nicht im Speicher, dafür aber auf der Platte -> und dort konnte er ihn auch löschen (im Gegensatz zu vorher). Nach einem Neustart des Systems erscheint keine seltsame Werbung mehr, auch lässt sich die Windows-Firewall über die von Bernd_E angegebenen Registry-Keys jetzt wieder einschalten.
Nochmal Neustart, sicherer Modus gebootet -> Ewido-Scan -> Findet nix.

Heute abend und am Samstag habe ich keine Zeit mehr, aber danach werde ich mal den Rootkit-Revealer laufen lassen und das Log hier veröffentlichen, sowie mit Kaspersky und MWAV scannen.
Möchte ganz sichergehen, daß der Schädling wirklich weg ist (bei dem weiß man ja nie...).
 
Die beiden Virenscans sind durch.
Der Kaspersky hat einen anderen Virus gefunden, der bisher noch nie dabei war.

Inzwischen wird auch wieder Porno- und E-Bay-Werbung angezeigt.

Der Rootkit-Revealer ist durchgelaufen (Log-File hängt an).
streams.exe meldet aber nur "No streams found".

Muss jetzt der Rechner wirklich neu aufgesetzt werden? Wäre äußerst ungünstig, weil meine Freundin ihn in den nächsten Tagen braucht (auch für das Internet), und ich erst in zwei Wochen Zeit hätte für eine Neuinstallation (Klausur steht bevor)...
 

Anhänge

Auf dem Rechner befindet sich ein Sack voll verdächtiger Dateien:
Code:
CODED1.EXE (TrojanDownloader.Agent.uj)
BROCKSVR.EXE (verdächtig)
DMAOY.EXE (verdächtig)
HLMICRO.EXE (Win32.Bloon.V)
HWIPER.EXE (Trojan.Win32.Qhost.dv)
SETUPCARNIVAL.EXE (möglicherweise Spyware)
YAEMU.EXE (WIN32.DNSCHANGER.S TROJAN)
Allgemeine Hinweise zum Entfernen von TrojanDownloader Malware
http://www.europe.f-secure.com/v-descs/trojdown.shtml

TCPView hilft beim Aufspüren verdächtiger Netzwerkverbindungen und erlaubt die Zuordnung der Verbindung zu dem Programm, das die Verbindung erzeugt hat:
http://www.sysinternals.com/Utilities/TcpView.html
Wenn eine Verbindung von einem der oben genannten Prozesse dabei ist, kannst du diese gezielt kappen und dann mit einer IPSEC Regel dem Rechner die Kommunikation mit der betreffenden IP verbieten. Das verhindert unerwünschtes Nachladen von Malware, bis du den Rechner gesäubert hast.
 
Sind denn wirklich die Temp-Ordner und der TemporaryInternetFiles- Ordner geleert worden, wie beschrieben? Das ist schonmal Voraussetzung.

Von der Sache her gibt es nur zwei Möglichkeiten.
Entweder Du begibst Dich auf eine zeitaufwendige Spurensuche. Beispielsweise mit SpyHoleList und gleichst alle laufenden Prozesse mit denen von Windows und installierten Programmen ab.

Oder Du machst die Kiste platt und setzt sie vollkommen neu auf.

Bei der ersten Variante kannst Du nie sicher sein, dass Du alles erwischt hast und der Zeitaufwand wird auch eher zur zweiten Varianten tendieren.
 
Die Temp-Files hatte ich meines Wissens alle gelöscht.

Ich habe beschlossen den Rechner platt zu machen und neu aufzusetzen. Alles andere erscheint mir zu unsicher.

Danke euch beiden für die ausführliche Hilfe.
 
Zurück
Oben