# Ratlos über Virenbefall



## Anonymous (12 Oktober 2005)

Hallo!

Ich versuche jetzt schon den halben Tag, Viren und Trojaner von einem Computer zu entfernen und bin mittlerweile ziemlich ratlos.
Vorgeschichte: Computer wurde im abgesicherten Modus gebootet und mit Spyware Search und Destroy sowie zwei verschiedenen Virenscannern von verschiedenen Sachen befreit. Nach dem Reboot schien auch alles wieder normal zu sein (AVGUARD meldete auch keine Infektionen mehr).
Anschließend habe ich das Microsoft Windows Update aufgerufen und das Service Pack 2 runterladen und installieren lassen. Nach dem nächsten Reboot war alles schlimmer als vorher. Anscheinend waren wieder mehrere Viren aktiv, irgendwelche dubiosen Programme wurden automatisch runtergeladen und gestartet. Und jetzt lässt sich noch nicht mal mehr scannen. Anti-Viren-Programme und Spyware Search and Destroy brechen ab. Die Windows-Firewall lässt sich nicht aktivieren.
Im abgesicherten Modus finden Online-Scanner nichts.
Hab dann Hijackthis laufen lassen -> alle Browser-Helper-Objects entfernt. Und den Nameserver, der offensichtlich auf einen anderen Wert geändert wurde, wieder zurück geändert.
Die Anti-Viren-Programme + Anti-Trojaner brechen aber nach wie vor beim Scannen ab, die Windows-Firewall lässt sich auch immer noch nicht aktivieren.
Würde gern das aktuelle Hijack-This-Logfile hier hochladen, aber das aktivieren von meinem Benutzeraccount funktioniert nicht (nehme mal an, daß nur angemeldete Benutzer Attachments an Nachrichten anhängen können?).
Weiß trotzdem jemand Rat?


----------



## Anonymous (12 Oktober 2005)

Grübel / Ratlos schrieb:
			
		

> Würde gern das aktuelle Hijack-This-Logfile hier hochladen, aber das aktivieren von meinem Benutzeraccount funktioniert nicht (nehme mal an, daß nur angemeldete Benutzer Attachments an Nachrichten anhängen können?).Weiß trotzdem jemand Rat?


Dieser Service wertet das Log automatisch aus:
http://www.hijackthis.de/


----------



## Anonymous (12 Oktober 2005)

Danke, das hat mir wesentlich weitergeholfen!
Durch die Auswertung wußte ich, daß auf dem Computer noch zwei Malware-Programme drauf waren: "SpySherrif" und "Attune". Hab die entsprechenden Registry-Schlüssel und .exe-Dateien vom Computer getilgt.

Jetzt findet AVGUARD keine Viren mehr, auch installieren sich keine Programme mehr von selbst, der Taskmanager sieht sauber aus.
Aber: Die Windows-Firewall lässt sich nicht aktivieren ("Dies ist über eine Gruppenrichtlinie festgelegt" - obwohl es ein 1-Benutzer-Computer ist) und 'Spyware Search and Destroy' bleibt beim Scannen immer an derselben Stelle stecken (Bei Überprüfung der Nr. 637 von 30 000) - das Programm ist dann wie eingefroren ohne weiterzumachen.
Sind das Hinweise darauf, daß versteckt auf irgendeine Weise noch ein Virus aktiv ist, oder hat das ganze harmlosere Gründe?


----------



## Devilfrank (13 Oktober 2005)

Das ist offenbar noch nicht ausgestanden.
Wie stehts denn um Deine Englisch-Kenntnisse?
Hier findest Du eine ausführliche Anleitung: I think my computer is infected or hijacked. What should I do?

Alternativ kannst Du mal die Ewido-Suite zum Einsatz bringen:
http://www.ewido.net/de/


----------



## Anonymous (13 Oktober 2005)

Grübel / Ratlos schrieb:
			
		

> Die Windows-Firewall lässt sich nicht aktivieren ("Dies ist über eine Gruppenrichtlinie festgelegt" - obwohl es ein 1-Benutzer-Computer ist)


Vermutlich hat der Virus mindestens einen der folgenden Registry Einträge gesetzt:
	
	



```
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile \EnableFirewall=0 (DWORD data type)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile \EnableFirewall=0 (DWORD data type)
```
Ersteren Eintrag löschen, beim zweiten Eintrag wäre EnableFirewall auf den Wert '1' zu setzen. Danach Rechner neu starten.





> und 'Spyware Search and Destroy' bleibt beim Scannen immer an derselben Stelle stecken (Bei Überprüfung der Nr. 637 von 30 000) - das Programm ist dann wie eingefroren ohne weiterzumachen.


Versuche es mal mit MS Antispyware:
http://www.microsoft.com/athome/security/spyware/software/default.mspx


----------



## Anonymous (13 Oktober 2005)

Ewido findet außer einigen Viren, die sonstige Anti-Virus-Programme  vorher ebenfalls gefunden hatten, den folgenden:
TrojanDownloader.Agent.uj
Dieser scheint die restlichen (einfacher zu entfernenden) Viren immer nachzuladen.
Er ist aber auch der einzige, der sich selbst im abgesicherten Modus nicht entfernen lässt. Ewido meldet über den:

Name / Pfad / Status:
-------------------------
TrojanDownloader.Agent.uj / [1596] VM_009E0000 / Fehler beim Säubern
TrojanDownloader.Agent.uj / [588]  VM_00C00000 / Fehler beim Säubern
TrojanDownloader.Agent.uj / [564] VM_034E0000 / Fehler beim Säubern

Nun frag ich mich: Was ist z.B. "[1596] VM_009E0000" für ein Pfad?
Bei den unproblematischen Viren wird da ein ganz normales  Verzeichnis
oder ein Registry-Key angezeigt.
Und warum kann der Virus selbst im abgesicherten Modus nicht von diesem Ort entfernt werden?
Warum kann der sich vor "HiJackThis" verstecken?

MSAntiSpyware lässt sich im abgesicherten Modus nicht installieren. Den normalen Modus will ich jetzt aber nicht booten, weil dann gleich wieder die ganzen anderen Viren vom "TrojanDownloader" nachgeladen werden.

Die Registry-Keys für die Windows-Firewall existieren laut regedit.exe gar nicht?! (Unterhalb von "Microsoft" existiert nur "System Certificates")
Hatte vorhin versucht ZoneAlarm runterzuladen (im normalen Modus). Aber während man auf anderen Seiten "normal" surfen kann, erscheint auf allen Downloadseiten, die Zonealarm anbieten, anstatt der richtigen Seite entweder Porno- oder Ebay-Werbung.


----------



## Devilfrank (13 Oktober 2005)

Als erstes ist die Systemwiederherstellung zu deaktivieren, da sich dieser Geselle dort einnistet und ständig wiederhergestellt wird.

Neustart im abgesicherten Modus und noch einmal mit Ewido ran.


----------



## Anonymous (13 Oktober 2005)

Die Systemwiederherstellung hatte ich schon gestern deaktiviert und seitdem nicht mehr angerührt - daran kann es also nicht liegen?


----------



## Devilfrank (13 Oktober 2005)

Das wird so nüscht.
Meld Dich mal hier an und poste dann ein frisches HJT-File als Textfile.
Dann schaun wir weiter.
Und das hier mal abarbeiten: http://forum.computerbetrug.de/viewtopic.php?t=5593


----------



## gruebel_ratlos (14 Oktober 2005)

Das HiJackThis-Logfile hängt an.
Die Auswertung auf www.hijackthis.de scheint nix Verdächtiges zu Tage zu fördern. Die drei als "eventuell böse" markierten Einträge haben so ihre Richtigkeit.


----------



## Devilfrank (14 Oktober 2005)

Großartig!
Da der Trojan.Downloader gemeldet wird, aber aus dem HJT-Log nicht hervorgeht, ist davon auszugehen, dass der Trojaner sich selbst verbirgt. 

Du kannst also nie sicher sein, dass Du die Büchse jemals wieder sauber bekommst, da der Trojaner sich permanent updatet und weitere Komponenten aus dem Netz nachlädt.

Einen Versuch kannst Du noch starten: 
1. http://www.mwti.net/antivirus/free_utilities.asp downloaden und auf dem Desktop ablegen
2. Kaspersky-Trial downloaden und auf dem Desktop ablegen
http://www.kaspersky.com/trials
============================================
Sollten die Downloads scheitern, dann das hosts-File suchen und bereinigen
============================================
3. den Rechner vom Netz trennen 
4. Start im abgesicherten Modus (ohne Netzwerktreiber) und deaktivierter Systemwiederherstellung; den Browser und den Explorer nicht starten
5. alle Temp und TemporaryInternetFiles Ordner leeren (MS-DOS Konsole und über den dir-Befehl navigieren)
6. dann die beiden Scanner drüberlaufen lassen und hoffen, dass der Kaspersky das Teil plattmacht

Wenn nicht, kannst Du den Rechner nur noch neu aufsetzen.


----------



## Anonymous (14 Oktober 2005)

Devilfrank schrieb:
			
		

> Da der Trojan.Downloader gemeldet wird, aber aus dem HJT-Log nicht hervorgeht, ist davon auszugehen, dass der Trojaner sich selbst verbirgt.


Dann schlage ich zusätzlich einen Scan mit dem Rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
und eine Untersuchung mittels Streams vor:
http://www.sysinternals.com/Utilities/Streams.html
Bitte die Ergebnisse hier als Dateianhang posten.


----------



## Anonymous (14 Oktober 2005)

Eben hatte ich einen Einfall.
Es scheint ja so, daß der Trojan.Downloader.Agent.uj es auf irgendeine Weise schafft, selbst im abgesicherten Modus mitgestartet zu werden (weil er in diesem von Ewido im Speicher gefunden wird, auf der Festplatte aber nicht -> kann sich verstecken).

Jetzt hab ich mal auf einem anderen, sauberen PC mit "BartPE" eine saubere Windows-Boot-CD erstellt. Diese habe ich auf dem infizierten Computer gebootet, das Netzwerk eingerichtet und anschließend den Ewido-Online-Scan gestartet. 
Diesmal findet er den TrojanDownloader nicht im Speicher, dafür aber auf der Platte -> und dort konnte er ihn auch löschen (im Gegensatz zu vorher). Nach einem Neustart des Systems erscheint keine seltsame Werbung mehr, auch lässt sich die Windows-Firewall über die von Bernd_E angegebenen Registry-Keys jetzt wieder einschalten.
Nochmal Neustart, sicherer Modus gebootet -> Ewido-Scan -> Findet nix.

Heute abend und am Samstag habe ich keine Zeit mehr, aber danach werde ich mal den Rootkit-Revealer laufen lassen und das Log hier veröffentlichen, sowie mit Kaspersky und MWAV scannen.
Möchte ganz sichergehen, daß der Schädling wirklich weg ist (bei dem weiß man ja nie...).


----------



## gruebel_ratlos (16 Oktober 2005)

Die beiden Virenscans sind durch.
Der Kaspersky hat einen anderen Virus gefunden, der bisher noch nie dabei war.

Inzwischen wird auch wieder Porno- und E-Bay-Werbung angezeigt.

Der Rootkit-Revealer ist durchgelaufen (Log-File hängt an).
streams.exe meldet aber nur "No streams found".

Muss jetzt der Rechner wirklich neu aufgesetzt werden? Wäre äußerst ungünstig, weil meine Freundin ihn in den nächsten Tagen braucht (auch für das Internet), und ich erst in zwei Wochen Zeit hätte für eine Neuinstallation (Klausur steht bevor)...


----------



## Anonymous (16 Oktober 2005)

Auf dem Rechner befindet sich ein Sack voll verdächtiger Dateien:

```
CODED1.EXE (TrojanDownloader.Agent.uj)
BROCKSVR.EXE (verdächtig)
DMAOY.EXE (verdächtig)
HLMICRO.EXE (Win32.Bloon.V)
HWIPER.EXE (Trojan.Win32.Qhost.dv)
SETUPCARNIVAL.EXE (möglicherweise Spyware)
YAEMU.EXE (WIN32.DNSCHANGER.S TROJAN)
```
Allgemeine Hinweise zum Entfernen von TrojanDownloader Malware
http://www.europe.f-secure.com/v-descs/trojdown.shtml

TCPView hilft beim Aufspüren verdächtiger Netzwerkverbindungen und erlaubt die Zuordnung der Verbindung zu dem Programm, das die Verbindung erzeugt hat:
http://www.sysinternals.com/Utilities/TcpView.html
Wenn eine Verbindung von einem der oben genannten Prozesse dabei ist, kannst du diese gezielt kappen und dann mit einer IPSEC Regel dem Rechner die Kommunikation mit der betreffenden IP verbieten. Das verhindert unerwünschtes Nachladen von Malware, bis du den Rechner gesäubert hast.


----------



## Devilfrank (16 Oktober 2005)

Sind denn wirklich die Temp-Ordner und der TemporaryInternetFiles- Ordner geleert worden, wie beschrieben? Das ist schonmal Voraussetzung.

Von der Sache her gibt es nur zwei Möglichkeiten. 
Entweder Du begibst Dich auf eine zeitaufwendige Spurensuche. Beispielsweise mit SpyHoleList und gleichst alle laufenden Prozesse mit denen von Windows und installierten Programmen ab.

Oder Du machst die Kiste platt und setzt sie vollkommen neu auf.

Bei der ersten Variante kannst Du nie sicher sein, dass Du alles erwischt hast und der Zeitaufwand wird auch eher zur zweiten Varianten tendieren.


----------



## gruebel_ratlos (17 Oktober 2005)

Die Temp-Files hatte ich meines Wissens alle gelöscht.

Ich habe beschlossen den Rechner platt zu machen und neu aufzusetzen. Alles andere erscheint mir zu unsicher.

Danke euch beiden für die ausführliche Hilfe.


----------



## Devilfrank (17 Oktober 2005)

Gute Wahl.
 :thumb:


----------



## Anonymous (17 Oktober 2005)

Devilfrank schrieb:
			
		

> Gute Wahl.


Sehe ich auch so. Am besten, du ziehst nach dem Aufsetzen noch ein Image auf CD. Zu empfehlen ist auch ein Check mit dem MBSA:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx


----------

