Trojaner eingefangen im PC

[Ueli Zwingli]

Seit einigen Tagen funktioniert mein PC nicht mehr richtig. Betriebssystem Windows 7 mit Kaspersky Internet Security 2016 Hat nicht verhindert, dass eine Schadsoftware meinen PC beeinflusst. Die Updates sind aktuell im System und bei Kaspersky und den anderen Tools.

 

Ich starte den PC normal, wobei der Zugriff auf das WIFI ca 1 Min. dauert. Es findet aber ein Datenaustausch statt, bevor ich Zugriff habe. Ich klicke dann im Firefoc oder im IE auf den Link zum Flightforum was auch geöffnet wird. Ich kann anfangs auch ein Unterforum öffnen, wenn ich aber einen Beitrag anklicke, öffnet sich ein neuer Tab mit der Page: "Windows 7 PC-Reparatur" oder eine Page "Invest Kingdom". Die schliesse ich natürlich sofort wieder, wobei eine Bestätigung zum schliessen des Tab gefordert wird. Später werden Beiträge unvollstandig angezeigt mit der Begründung "Übertragung abgebrochen" Das alles mit Firefox und IE.

 

Ich habe den PC mit Kaspersky gescannt, CCleaner und Spybot benutzt was nicht geholfen hat. Im Internet habe ich mich schlau gemacht und dort ein Microsoft Tool gefunden, das mein Problem lösen sollte, hat aber nichts genutzt, Es gibt auch einige Postings, die umfangreiche Eingriffe in die Registry erfordern, mit der Bemerkung, dass damit der Trojaner nicht entfernt wird. Auch wird empfohlen, das System neu aufzusetzen.

Ich fühle mich überfordert, mein Problem zu lösen. Ich werde wohl professionelle Dienste in Anspruch nehmen müssen. :( :( :(

Vielleicht hat aber jemand im Forum noch einen Ratschlag für mich.

 

PS: ich habe keine unseriösen Pages aufgerufen!!!

Bearbeitet 24. September 2015 von Ueli Zwingli

[Gast]

Guten Tag Ueli

 

Denke neu Aufsetzten ist das einzige das auf die Dauer wirklich was bringt.

Bringt auch sonst viel mal wieder eine richtige und saubere Installation zu machen.

Hoffe du hast deine Daten auf einem externen Medium gespeichert.

Ich kann die gerne dabei unterstützen.

 

Viele Grüsse

 

Marino

[Heinz Richner]

Ueli, ich habe den hier installiert und bin absolut zufrieden:

http://www.beluga59.ch/atrikelinfo/blog/?p=38

 

lass den mal über dein System laufen, das könnte auch ohne 'professionelle Hilfe' was bringen.

 

Gruess

Heinz

[Gulfstream]

bevor du alles neu machst:

 

hast du einen Wiederherstellungspunkt den du nutzen kannst und weißt, dass dort sein OS ok war??

Ich empfehle dir den Virenscanner von Webroot.

Ich bin sicher, dass du im www eine stinger oder ähnliches findest um dein Problem zu lösen, welches sicher auch andere haben.

 

Viel Glück!

 

Markus

 

 

Gesendet von meinem SM-G925F mit Tapatalk

[sirdir]

Wenn man den Trojaner, den man sich da eingefangen hat nicht bis in's Detail kennt, gibt's eigentlich (!) sowieso keine andere Lösung, als neu aufsetzen. (Oder Zurückspielen eines Backups vor dem Infektionszeitpunkt). Der Trojaner kann, wenn er clever ist, jeden Versuch, ihn zu bekämpfen (zumindest aus dem laufenden System raus) zunichte machen. Er kann auch x-fach im System stecken und ein paar Instanzen opfern, um dich in Sicherheit zu wiegen.

Klar, einwenig theoretisch...

Ob Wiederherstellungspunkte da helfen vermag ich nicht zu beurteilen, als ich das letzte mal 'en detail' mit Windows zu tun hatte deckten die längst nicht alles ab.

Und eben, wenn der Trojaner wollte... die 'alten' Dateien sind ihm durchaus auch zugänglich.

[Danix]

Zuerst einmal: Ruhig Blut.

 

Noch steht nicht fest, dass du einen Virus hast (ok, du hast bestimmt einen Virus, aber das hat jeder). Auch keinen Trojaner. So wie ich das sehe, hast du nur Probleme mit dem Internet? Stimmt das?

 

Versuch noch mal einen anderen Browser.

 

Scanne auch mal mit einem anderen Virenscanner, z.B. den Windows-internen oder einen online.

 

Muss jetzt in die Stadt, kann aber am Abend noch einmal helfen.

 

Dani

[FalconJockey]

Kennst Du das Programm "HiJackThis!"? Das analysiert Dein System und gibt Dir Auskunft was verdächtig ist.

[sirdir]

Aber eigentlich NUR von einem anderen, bekanntermassen sauberen System aus (c't disinfect CD z.B.). Wie gesagt, ein Trojaner kann jeder anderen Software vorgaukeln was er will, es gibt keine zuverlässige Möglichkeit von einem infizierten System aus eine Infektion festzustellen.

[stefanw]

Und noch ein Tipp:

https://de.malwarebytes.org/antimalware/

[Gulfstream]

@sirdir: es sei denn, die Updates der Tools kennen den Eindringling und können ihn daher lokalisieren. Bei den bekannten Tools (e.g. webroot) geht das meistens schnell.

 

Markus

 

Gesendet von meinem SM-G925F mit Tapatalk

[sirdir]

@sirdir: es sei denn, die Updates der Tools kennen den Eindringling und können ihn daher lokalisieren. Bei den bekannten Tools (e.g. webroot) geht das meistens schnell.

NEIN. Bei 'dummen' Trojanern mag das gehen. Ein Cleverer lässt dem Tool keine Chance! Wenn er z.B. einen FS-Filter Treiber einsetzt kann er dem Tool vorgaukeln, dass er nicht auf der Platte ist. Ein Trojaner, der mit vollen Rechten läuft, kann an jeder Stelle, wo er entdeckt werden könnte eingreifen und sich verstecken (resp. die APIs des OS umbiegen und das zurückliefern, was er will, Prozessliste etc.). Blöd gesagt könnte er sogar den Scanner abschiessen und dir selbst 'alles OK' einblenden.

Es ist eine uralte (aber anscheinend noch nicht bekannte) Binsenweisheit, dass du von einem komprimitierten System aus keinen zuverlässigen Scan machen kannst.

Darum: Von einem sauberen System booten. Alles andere ist unverantwortlich.

 

PS: Nochmal der Tip:

https://de.wikipedia.org/wiki/Desinfec’t

Bearbeitet 25. September 2015 von sirdir

[Ueli Zwingli]

Danke allen für die guten Ratschläge. Ich werde die Tools ausprobieren bevor ich den PC einer Profistelle übergebe.

Vielleicht ist es interessant zu wissen, dass ich vor ungefähr 3 Monaten viele dubiose Anrufe aufs Fixnet bekommen habe. Die Ländercodes waren meistens Iran, manchmal auch USA. In schlechtem Englisch wurde behauptet, dass mein PC verseucht sei und ich ein Tool von einer HP, deren Link sie mir angab, herunterladen soll. Das habe ich natürlich nicht gemacht sondern das Gespräch " sehr freundlich" beendet

Darum vermute ich, dass mein PC gehackt wurde und dass ein bösartiger Trojaner sich eingenistet hat. Vor ca 1 Monat hörten die Anrufe auf.

Bearbeitet 25. September 2015 von Ueli Zwingli

[ArminZ]

FSecure online scanner

https://www.f-secure.com/en/web/home_global/online-scanner

[Gulfstream]

wie Danix richtig sagt, ist es ja nicht klar, ob du eine kontaminierte Kiste hast oder nicht. Es kann ja auch sein, dass du einfach ein paar Einträge ins Nest gesetzt bekommen hast, welche deinen PC durcheinander bringen.

 

Da ich deine Gepflogenheiten nicht kenne, schlage ich dir vor, noch die folgende Tools drüber zu lassen, mit welchen ich meinen PC unterhalte, aber auch sauber halte:

 

die Power-Suite von Uniblue (putzt die Registry, scant die Maschine nach Problemen und überflüssigem Schrott und behebt diese)

Secure Anywhere von webroot

Reimage Repair (startet in einem speziellen abgesicherten Mode)

 

Auch wenn du einen Infektion hast, kommt es nun noch drauf an, wie professionell diese ist. Es kann durchaus sein, dass es nur ein 'Aergemacher' ist, dann wird dieser nicht so professionell sein wie von sirdir beschrieben. Wenn du aber deinen PC mit den tools aus dem Netz (stinger etc.) und mit den erwähnten Möglichkeiten nicht hinbekommst, dann must du wahrscheinlich neu aufsetzen....

 

Markus

[Danix]

Hallo Ueli

 

Konkrete Frage: Hat irgendeines der Antivirenprogramme dir gesagt, dass du einen Trojaner hast? Schlaue Trojaner sind wie Patrick richtig bemerkt sehr gut versteckt, und man merkt nicht, dass sie arbeiten. Nur Malware macht das.

 

Ich glaube nicht, dass die Nigerianer dir deinen PC versaut haben. Das ist zufällig. Die kennen nicht gleichzeitig deine Telefonnummer und deine IP-Nummer, die probieren auf gut Glück. Solche Typen hat doch jeder schon erlebt.

 

Ein Trojaner würde auch sämtliche Programme befallen, nicht nur deinen Internet Browser. Versuch andere Programme zu starten und deren Verhalten zu studieren. Geh auf Kommandozeile und pinge irgendwas.

 

Dani

[Ueli Zwingli]

@Danix  Danke für deine Hilfe. Ich bin natürlich Aufmerksam geworden durch das öffnen der Tabs und dass ich nicht mehr auf Unterforen zB im FF zugreifen konnte. Später ist mir aufgefallen, dass Kaspersky unbearbeitete DLL Dateien im Windows/Temp Verzeichnis meldete. Ich habe diese Dateien manuell gelöscht. Nach neuerlichem Starten waren alle wieder vorhanden. Es sind auch Dateien

obu9926.tmp

obu9936.tmp

ROT.Finished.Chrome

ROT.Finished.Firefox

ROT.Finished.InternrtExplorer

im Temp Verzeichnis. Ich habe nach "Windows 7 PC-Reparatur" Meldungen gegoogelt. Dort ist klar von einem Trojaner die Rede.

Ich prüfe den PC mir der Kaspersky Rescue Disk 10, diese Prozedur dauert jedoch noch 4 Stunden.

Bearbeitet 25. September 2015 von Ueli Zwingli

[Danix]

Alles klar.

Bei ROT.finished.* komme ich auf den Nation Zoom Trojaner. Hast du ihn im Verdacht oder was anderes? Welchen Namen nennen deine Scanner?

 

Wenn du ein neues Browser-Fenster aufmachst, kommt dann eine komische Homepage wie Nation Zoom? Das allein ist nicht tragisch. Du musst nur schauen dass du den Eintrag im "Neuer Browserfenster" frei bekommst und danach auch noch die Malware selber. Jede zweite Suchmaschine funktioniert mit dieser Masche.

 

Wie gesagt, keine Panik. Dein Compi funktioniert immer noch. Der meiste Schaden wird meistens durch überhastete Panikaktionen zugefügt. Solange du noch einigermassen arbeiten kannst mit dem PC, würde ich auf keinen Fall alles formatieren. Hast du Backup?

 

Viel Glück

Dani

[Flying Bull]

Hi,

was bei solchen Sachen häufig hilfreich ist, eine Live-CD von der man starten kann

Z.B. http://www.knoppix.org/

Das ist ein komplettes Linus-Betriebssystem, dass ausschließlich von CD/DVD startet - und man kann damit nicht nur auf das Internet zugreifen sondern ggf. auch Dateien sichern etc.

 

Gruß Udo

Flying Bull

[Max Knobel]

Sali Ueli

Neu aufsetzen ist das einzige Richtige. Die aufgewendete Zeit mit Gebastel bringt meist nichts.

Zudem gilt ein verseuchtes Gerät auch nach der Reparatur als gefährlich.

 

Und dan hätt ich noch einen Tip, aber den kennst Du ja sicher: Image-Sicherung! Dein System wäre in wenigen Minuten wieder sauber und funktionsfähig.

 

Genau so ähnlich bei mir passiert vor etwa 3 Monaten. In gut 20 Minuten war die Welt wieder in Ordnung.

 

Max

[Danix]

Ein gutes Image ist wie ein regelmässiges Backup die halbe Miete bezüglich Sicherheit.

Trotzdem: Radikalschläge verursachen oft ärgerlichen Datenverlust, denn es braucht doch eiserne Disziplin um alle Daten immer so organisiert zu haben, dass man nichts verliert. Nach ein paar Tagen, Wochen oder Monaten fragt man sich dann, wo dieses wichtige PDF war, oder wo die Bilder vom letzten Geburtstag, oder dieses interessante E-mail...

 

Auf einem PC wo man nur Anwendungen drauf macht, hat man schnell wieder eine funktionierende Plattform drauf.

 

Wenn aber sämtliche Daten abgespeichert sind, sind die Daten oft wichtiger als das System selber.

 

Bevor ich deshalb eine Festplatte formatiere, gehe ich lieber zu Digitec und kaufe mir eine neue, und lege die alte verkorkste in eine Kiste. Wie oft habe ich da noch wichtige Daten gefunden!

 

Dani

[Ueli Zwingli]

Der Scan mit der Kaspersky Rescue Disk hat keine Fehler ergeben! :(

Alle von Kaspersky beim Booten gefundenen dll sind als "not a Virus" deklariert und mit "Heur:AdWare.Win32.Linkury.heur;Adware;datum/zeit" bezeichnet.

 

@Heinz Ich habe das WinZip Malwareprogramm gestartet. Es hat 277 Fehler gefunden. Ich habe ein paar Infos über dieses Programm im Internet gesucht. Die meisten raten von diesemProgramm ab, auch die Zeitschrift PC Tip. Ich habe dafür im Microsoft Forum von einem Admin einen Hinweis auf das Tool AdwCleaner gelesen. Die Bewertungen in Diversen Foren (zB Chip) sind gut. Dieses Tool hat auch sehr viele Ad Malware gefunden.

 

@Dani Meine Daten habe ich regelmässig auf CD gesichert. Mein C: Laufwerk ist eine SSD. Eine Windows 7 CD wurde leider beim PC Kauf nicht mitgeliefert, ich habe nur die entsprechende Recovery Datenträger erstellt

 

Nun gehe ich aber zu Bett, morgen ist auch ein Tag...

 

Vielen Dank für alle gutgemeinten Ratschläge und Tips! :) :) :)

Bearbeitet 25. September 2015 von Ueli Zwingli

[Heinz Richner]

Danke Ueli, ich weiss, im Net hats viel Negatives, aber auch Positives zum WinZip - ich für mich habe halt (bisher) gute Erfahrungen damit. Wobei, im letzten Detail kann ich nicht sagen, was Fake-Meldungen sind und was nicht. Ich werde den Tool AdwCleaner auch mal anschauen - daher merci für den Tipp.

 

Gruess

Heinz

[Danix]

Bedeutes das, dass du keinen Virus hast oder dass er nicht entdeckt werden kann?

 

Meiner Erfahrung nach sind die meisten "Virusattacken" einfach nur falsch eingestellte Programme oder deren Fehlfunktionen. Malware gibt es überall, ich glaube, da kann man sich nicht dagegen wehren. Entscheidend ist, dass es sich in Grenzen hält und dass sie den Computer nicht massiv in seiner Funktion einschränken. Meistens ist Malware einfach nur aggressive Kundenbindungsinstrumente von kommerzieller Software ("kaufen sie mich" oder der Suchmaschinenkampf Bing vs Google vs die Kleinen).

 

Auch ich habe natürlich eine komplette Trennung von OS und Daten (SSD und HD), ich behaupte sogar, ich war einer der ersten. Trotzdem gehen einem immer wieder das eine oder andere Datum verloren. Ich rede aus schmerzvoller Erfahrung. Sei es weil man hie und da nicht komplett konsequent war, oder weil es ein benutztes Programm nicht war.

 

Ausserdem ist ein Image-Restore schnell getan, aber in komplexen Umgebungen braucht es danach immer noch wochenlang Anpassung. Also ich versuche das zu vermeiden, wenn es nicht unbedingt notwendig ist.

[Dierk]

Versuch's mal damit: Trial ist gratis

 

http://www.webroot.com/us/en/home/products/av

Bearbeitet 26. September 2015 von Dierk

[N251AY]

Hallo Ueli. Wenn du magst, dann poste uns doch mal einen Screenshot deiner installierten Programme (Systemsteurung --> Programme&Funktionen). Vielleicht gibt es schon dort dubiose Sachen.