XP: Malwarebefall, diverse Systemeinstellungen ändern

[cxAlex]

Servus.

Ich hab mir gestern ne "kleine" Malware eingefangen als ich zwangsmäßig mal für 5 Minuten den Internet Explorer verwenden musste, die mir immer wieder Popups usw. und tralala auf dem Desktop angezeigt hat. Nun so klein war die garnicht, beim bereinigen wurde ne rießen Liste von Zeug gefunden das Vorgestern noch nicht da war, der Sch*** hat anscheinend jeden Trojaner/Malware usw. was es nur im Netz gibt geladen.

Auf jeden Fall hab ichs jetzt (hoffentlich) geschafft und alles entfernt. So kleinere Späße wie die Änderung von *.exe, *.bat Zuweisungen für Subloader und das sperren von Anzeige - Eigenschaften/Regedit/Taskmanager usw. hab ich schon wieder behoben. Aber ein paar gröbere Sachen krieg ich nicht in den Griff, bzw. gehen mir die Ideen aus an was es liegen könnte:

• Drag & Drop von Dateien im Explorer geht nicht mehr
• Zip - Dateien haben kein Kontextmenü mehr und reagieren nicht mehr auf Klick/Doppelklick (HKEY_Classes_Root ist in Ordnung, schon nachgesehen)
• Einige Dienste die vorher nicht da waren (und so lusti heißen wie "Audio Codec L.A.", "MStasras") sind da am laufen und ich krieg Sie nicht beendet (Gibt kein Beenden im Dienstemanager).

Weiß jemand wie ich diese Probleme lösen könnte? Ich hab schon Probiert SP3 neu zu installieren, aber das geniale MS - Setup bricht einfach ab weil es meint dass das SP schon drauf ist.

NEUINSTALLATION KOMMT NICHT IN FRAGE!

Gruß, Alex

[ts-soft]

Folgende Vorgehensweise könnte helfen:

Starten im abgesicherten Modus
löschen aller Dateien im lokalem temp
Ausführen von Spybot Search & Destroy und/oder Adaware
msconfig und alle Startdateien und Dienste deaktivieren

Danach starten und sehen ob alles okay ist.
Jetzt nach und nach alles in der msconfig wieder aktivieren und immer
testen obs noch probleme gibt. (Erst nur die MS-Dienste)

Auffällige Exe-Dateien sichern und löschen (im abgesichertem Modus oder
von einer LiveCD (Linux)) danach von vorne usw.

Bis es geschafft ist, kann aber dauern

[cxAlex]

>Folgende Vorgehensweise könnte helfen:

> Starten im abgesicherten Modus
schon erledigt
> löschen aller Dateien im lokalem temp
Ist auf ner RamDisk, ist sowieso jeden restart weg
>Ausführen von Spybot Search & Destroy und/oder Adaware
schon gemacht
>msconfig und alle Startdateien und Dienste deaktivieren
Schon gemacht

> Danach starten und sehen ob alles okay ist.
>Jetzt nach und nach alles in der msconfig wieder aktivieren und immer
>testen obs noch probleme gibt. (Erst nur die MS-Dienste)

Eben schon. Irgendwas versucht mir immer noch im Temp-Ordner ständig TR\Dropper.gen zu erzeugen, komm aber nicht dahinter was. Im Taskmanager (ProzessExplorer) ist nix zu sehen, nichts was nicht laufen sollte.

[ts-soft]

Vielleicht findeste hier: http://www.trojaner-board.de/56504-tr-d ... ieren.html
noch wertvolle Informationen.

[Thorium]

Hatte sowas ähnliches auch schon mit dem Firefox, seiddem nutze ich Seamonkey. ^^

Da hat garnix geholfen, nur Neuinstallation. Da hatte sich irgendwas ganz fieses ins System eingenistet, was der Virenscanner nicht finden konnte. Der hat nur dutzende Viren und Trojaner gefunden und entfernt (Wie bei dir.) Das waren aber nur Dummies. Von der eigentlichen Maleware generierte Dateien, mit Virensignaturen auf die der Virenscanner anschlägt. Ich denke mal um den Benutzer in Sicherheit zu wiegen das alles sauber sei.

Und wenn bestimmte Kontextmenüs, etc. bei dir nicht funktionieren, dann ist die Maleware auch garantiert noch vorhanden und aktiv. Möglicherweise sich als getarnten Treiber eingenistet.

Du könntest versuchen mit Rootkit Detektoren vorzugehen. Das kann aber abenteuerlich werden. Versuch mal den "Rootkit Unhooker", der findet Kernelhooks und kann diese auch entfernen. Sehr gutes Programm allerdings nur was für Anwender mit technischem Verständnis.

[rolaf]

>> NEUINSTALLATION KOMMT NICHT IN FRAGE!

Sorry - auch wenn ich dir mit meiner Antwort auf den Sack gehe, aber nur damit wirst du Sicherheit bekommen. Und letztlich gehts schneller als tagelanges rumwursteln um dann doch nicht zu 100% sicher zu sein.

[ts-soft]

Dann gibs noch diese Möglichkeit: http://www.avira.de/de/support/antivir_ ... _tool.html

[Graffiti]

versuchs mal mit Malwarebytes, der bekommt alles weg
erst der Kurzcheck - neu starten,
dann eine komplette Suche - auch nochmal neu starten
und nochmal ein kompletter check

mit diesem hatte ich immer alles wieder runterbekommen

viel erfolg und gruß Gerhard

[Vera]

Hi cxAlex,

mein tiefstes Mitgefühl - ich hatte letzte Tage auch eine wiederliche Fremdverstellung am Explorer, an der ich zwei Tage rumgedocktert habe. Ich kann Dir leider direkt nicht helfen, aber zumindest folgende Tips geben:

eine immermal wieder doch hilfreiche Fundgrube für die RegistryEinstellungen:
WinFAQ.de - Download: http://www.winfaq.de/download_winfaq.htm
Direkt-DLink für chmFormat (9.2MB): http://www.winfaq.de/download/winfaq_chm.zip

und eine private umfangreicheSammlung verschiedenster Lösungen:
Registry Edits for Windows XP - "Tweaks and Tips": http://www.kellys-korner-xp.com/xp_tweaks.htm


Bei mir wurden die Änderungen an der Reg boykottiert und geholfen hatte mir das Löschen (nach Sicherheitkopie) der SystemVolumeInformation (Inhalt nicht der Ordner) - Ändern der Reg - und unmittelbarer Neustart, dann war's endlich ok und man kann mit einem neuen Wiederherstellungspunkt weiter machen.

Die unterschiedlich widerspänstigen Dienste lassen sich sicher ergoogeln.
Ich drück Dir die Daumen.

Gruß ~ Vera

[cxAlex]

Mal Danke an alle das ihr mir so helft .

Ich hab jetzt das mit dem Drag & Drop gefixt, hab nen Reg - Snippet über Google gefunden. Mit dem Rootkit Unhooker hab ich einen Kernel - Rootkit gefunden der getprocaddress_() gehook hat unt entfernt, außerdem ein paar Treiber die sicher nicht von mir sind. Interessanterweise gibts da auch noch ein paar DLLs die sich immer wieder selbst herstellen, egal wie oft ich sie lösche. Jetzt mach ich grade nen Low-Level Scann um versteckte Dateien zu finden (dauert grade etwas bei ner TB - HD) und dann lass ich den Malwarebytes drüberlaufen.

Gruß, Alex