Bitte um Hilfe bei der Schaedlingsbekaempfung

[cmmehl]

Hallo Experten aller couleuren,

ich wuerde diese fachferne frage nicht hier im forum stellen, wenn ich nicht wuesste, dass sich hier viele experten nicht nur fuer VoIP tummeln und ich ausserdem gerade in einer etwas schwierigen lage bin. Bin erst vor ein paar tagen in West-Afrika angekommen und mein haupt-computer kommt erst in ein paar wochen nach. Wie auch das meiste andre meiner technik ... Zudem ist meine internet verbindung hier recht lahm, kann also nichts allzugrosses runterladen :-(

Auf meinem laptop nun habe ich mir - keine ahnung wie! - irgendwas eingefangen. Ich kriege nicht mal raus, was genau es ist. Vielleicht erkennt jemand diesen schaedling aus meiner beschreibung und kann mir einen tip geben, wie ich ihn mir vom laptop schaffen kann.

Entdeckt habe ich das teil, weil es mir dauernd auf meinen USB-stick schreibt. Geschaetzt etwa alle 10 sekunden, geaendert werden (soweit es mir bislang aufgefallen ist):
- die autorun.inf
- es wird ein versteckter ordner in der root erstellt, mit wechselnden namen (mal "moon", mal "honey"). Oeffnet man diesen ordner, ist sichtbar nur ein link zum papierkorb drin. Versucht man jedoch, diesen ordner zu loeschen, fragt windows nach, ob 2 systemdateien geloescht werden sollen - die eine heisst immer "DeskTop.ini", die andere ist eine exe mit wechselnden namen (die durch die autorun.inf aufgerufen wird).

Wenn ich autorun.inf und den ordner loesche, sind sie kurz darauf wieder da - es muss also ein prozess auf dem rechner laufen, der den USB-stick ueberwacht.

Aber jetzt kommt das gemeine: avira findet rein gar nichts auf dem rechner! Nicht mal, wenn ich gezielt den virus-erstellten ordner scanne. Es muss also irgendwie vom virus untauglich gemacht worden sein. Aber genausowenig brachte ein frisch runtergeladenes HJT oder ein online-scan mit house-call von trend-micro ein ergebnis. Sehr seltsam, das alles, da ich aufgrund des beschriebenen verhaltens ueberzeugt bin, dass hier ein schaedling sehr "alive and kicking" ist.

Google suchen waren bislang unergiebig, auch deshalb, weil ich nicht weiss, wonach ich suchen soll. Aber wunderlicherweise kamen in den suchergebnissen so komische adressen wie antivir.ro und aehnliches exotisches vor, aber nichts von den grossen klassikern in sachen antivirus - wird mein browser (firefox) auch vom schaedling kontrolliert?

Also falls euch das irgendwie bekannt vorkommt, bitte mit tips melden. Normalerweise wuerde ich kurzerhand das system neu aufsetzen, wenn ich das laestige teil anders nicht loswerde - aber unter den gegebenen umstaenden ist das leider keine option.

Vielen dank!
Chris

 

[Ecki-No1]

Hm, schwer aus der Ferne was zu sagen.
Schau mal hier.

Ansonsten starte mal abgesichert und deaktiviere per msconfig mal alle Dienste (außer die von Microsoft) und die Systemstartprogramme.
Starte anschließend wieder im abgesicherten Modus, und lasse mal ein aktualisiertes AVIRA AntiVir drüberlaufen.

AntiVir lässt sich notfalls auch manuell per IVDF aktualisieren.
Datei vorher irgendwie runterladen.

 

[iqjet]

versuch mal das http://www.gmer.net/

Kleine Datei und Versuch macht kluch..

//Edit
Nun habe ich was vertiefend bei mir gesucht und was gefunden, da ich mal so einen ähnlichen Fall hatte. In meinem Fall konnte das unerwüschte Program nicht deinstalliert werden, es installierte sich bei einem Reboot neu.

Meine damalige Bemerkung:

NIS 2008, SpyBot, Ad-Aware, Stinger waren erfolglos.
SpyBot fand, löschte den Eintrag, dennoch kam der Trojaner bei Neustart
wieder zurück.

Den Std. konnte ich in die Tonne werfen.

Hier die Links die in meinem Fall erfolgreich waren.
http://andymanchesta.com/

Das hat mir geholfen
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

XP im abgesicherten Mode starten, Die bat im SDFix
Verzeichnis aufrufen, warten

 

[doc456]

Moin Chris,

lass das im laufenden Betrieb, sondern hol dir ne Live-CD wie Knoppicillin oder von Avira.

 

[HeinoGanda]

Versuche es mal mit Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam.php.

Gruß

 

[cmmehl]

Danke an alle fuer eure tips!

Werde das mal heute abend ausprobieren.

Nur images von 600MB und mehr kann ich leider vergessen - das wuerde hier etwa eine woche dauern ...

Und unlocker kenne ich bereits - allerdings ist das problem nicht, dass ich eine datei nicht loeschen koennte, sondern dass sie sofort nach dem loeschen wieder erstellt wird. Trotzdem danke fuer den tip!

Gruss aus der pampa
Chris

 

[doc456]

Mach es im abgesicherten Modus und guck mit autoruns, ob das Biest als Dienst geladen wird!

BtW, nimm dir in Zukunft so ne CD mit, wenn du schon nach Öl buddelst! :doktor: :mrgreen:

 

[effmue]

Guude,

und noch einer:
Mag sein, dass du mit einem "Wiederherstellungspunkt" auch Glück hast.....

und die Jungs von http://www.hijackthis.de/de könnten dir evtl. auch weiterhelfen.

Aber trotzdem und ansonsten:
Denke daran, dass du ab jetzt wahrscheinlich ein kompromittiertes System im Einsatz hast und vermeide jegliche Bankgeschäfte o.ä. kritisches bis zum sauberen Systemrebuild..!

 

[cmmehl]

Guten Morgen allerseits,

der tip mit der wiederherstellung war gold wert - wieso bin ich da nicht selber drauf gekommen .... Nach 2 versuchen und dann etwa einen monat zurueck war's das dann mit dem fiesling auf dem notebook! Vielen dank!

Ebenfalls vielen dank fuer die vielen andern tips. Ich werde mir den thread merken, falls ich wieder mal von so was betreoffen sein sollte (was ich natuerlich nicht hoffe). Besonders die andymanchesta.com seite sieht wirklich sehr nuetzlich aus! HijackThis.de hatte ich schon probiert, ohne ergebnis.

Der nachteil der wiederherstellung ist, dass ich nicht weiss, was ich nun eigentlich hatte, und damit auch nicht nachforschen kann, wo/wie ich mir das eingefangen hatte. Ausserdem hatte es zur folge, dass ich einen monat thunderbird messages verloren habe und um 2 versionen im firefox zurueckgeowrfen wurde - das hatte ich nicht bedacht. Werde wohl kuenftig auf portable versions umsteigen und die von einer andern partition aus starten.

Nochmals danke an alles fuer eure hilfe, und einen schoenen tag!
Chris

 

[Novize]

Als Alternative zu den verlorenen Dateien und Programmversionen ist Knoppicillin (auch als "veraltete Version" sehr nützlich. Eine solche CD gehört auf jeden Fall zu den Notebook-Cds dazu. Auch nützlich ist eine echte Linux-Live-CD, um frei von verseuchten System Daten sichern und sichten zu können...
Ebenso nützlich ist ein gespiegeltes Image der internen Platte auf einem externen Datenträger. Da sind zum einen alle Daten drauf, zum anderen auch der Schädling, der da für weitere Experimente zur Verfügung steht.
Wenn Du Glück hast, dann findet Du mit weiteren Festplatten-Scan-Tools auch noch die Mails vom Thunderbird in den gelöschten FATs und die entsprechenden Datenbereiche sind noch "unberührt". Beispielsweise nenne ich mal Active File-Recovery, Dass Du Dir in einer kostenlosen Demo-Version herunterladen kannst (sehr klein und damit auch für Deine Anbindung kompatibel). Hat das Teil dann das Gesuchte gefunden, dann kauf es einfach und lasse die Daten wiederherstellen...
Die Demo stellt leider nur Daten <64kByte wieder her, aber der Scan ist schon mal aussagekräftig!

Daher: Bevor Du nun viel installierst und spielst, scan als erstes Deine Platte nach alten Daten,. bevor diese unwiederbringlich verloren sind

 

[iqjet]

OT
Wenn dein Email Provider / Thunderbird es erlauben, könntest du dein email account auf IMAP umstellen. Dann bleiben alle Emails auf dem Server, emails gehen also nicht mehr verloren.
Einge freie Email Dienste haben für das email account 7GB reserviert.

Ich nutze IMAP da ich von verschiedenen Rechnern meine Mails lese. Alle Rechner sind "synchronisiert".

 

[Novize]

IMAP mit einer analogen Modemverbindung macht je nach eMail-Client wirklich keinen Spass

 

[Cnecky]

Der nachteil der wiederherstellung ist, dass ich nicht weiss, was ich nun eigentlich hatte.

Wiederherstellungen lassen sich auch wieder rückgängig machen, oder einfach einen Wiederherstellungspunkt der letzten Tage auswählen.
Dann dürften die "verschwundenen" E-Mails und Dateien erneut vorhanden sein. Die Daten sichern und daraufhin das System nochmals um einen Monat zurücksetzen.

MfG Rainer

 

[effmue]

Guude,

[.....]Nach 2 versuchen und dann etwa einen monat zurueck war's das dann mit dem fiesling auf dem notebook! Vielen dank!

schön, daß das "offensichtlich" geklappt hat.

Trotzdem gilt immer noch: "Dein System ist kompromittiert".:doktor:

Du kannst nie ausschließen, daß sich nicht noch eine Trojaner-Komponente im "Schlafzustand" befindet.

Ich würde an deiner Stelle so schnell wie möglich mein gesamtes System komplett neu aufsetzen.

 

[iqjet]

Auch ich hänge schon mal an einem Modem.
Wenn Monsteranhänge im Email enthalten dann macht dies weder mit POP3 noch mit IMAP richtigen Spaß. Ich nutze Opera für meine privaten Mails und komme im Zuge meiner Reisetätigkeit zu ähnlich well known Places (am A**** der Welt)
Mein Email Client lädt zuerst die Kopfzeile / Text. Wenn ich den Anhang wirklich will, muß ich die Mail öffnen. Nach meiner Reise rufe ich auf meinem Heimrechner die Mails ab und bin dann auf den gleichen Stand. Zudem sind die ausgehende Mails von allen Rechnern im Server gespeichert.
Dieses aufgezeigte Verhalten ist in Kombination mit einem Modem sogar ein Vorteil. Ich lade nur das was ich wirklich sehen möchte.
Stimme dir aber zu das es keinen Sinn macht IMAP via Modem in West Afrika aufzusetzen.