Malware/Keylogger in Mp3 Datei?

#1 Hallo liebe Community,

Ich habe ein sehr großes Problem. Ich habe mir vor zwei Tagen einen neuen PC gekauft.

Folgendes System:

AMD PhenomII X4 945 4x3.00GHz
4096MB Corsair PC3-10666 CL9 KIT
Nvidia Geforce GTX260 896MB
Samsung SpinPoint F3 500GB
Gigabyte GA-MA790XT-UD4P
LG Electronics GH-22NS SATA 20x

So! So weit so gut.. Rechner ausgepackt und Windows XP (x86) installiert. Ja, das 32-Bit System war so gewollt.
Nach zwei Tagen bin ich dann auf Youtube rumgesurft und habe mir folgenden Link angehört/schaut. hxxxp://www.youtube.com/watch?v=iiZleFpRj7s
Dazu habe ich den rechts angegeben DL-Link angewählt..und die mp3-Datei heruntergeladen. Nachdem ich sie ausgeführt hatte ging der Spaß los! Ich bin mir nicht 100%ig sicher ob es wirklich diese Mp3-Datei ist, jedoch ging es nachdem rapide bergab und mein PC hat sich nach ein paar Minuten das erste mal aufgehängt (eingefroren). Da half nichtmal STRG+ALT+ENTF was..! Komplett eingefroren das System.
Ist es möglich, dass sich jemand evtl. diese Datei mal ansieht? Ich hatte zu dem Zeitpunkt leider noch keine Antiviren/Malsoftware drauf!!!!!

Das Problem an sich? Nun gut..fangen wir mal an!
Als erstes hing sich mein PC immer nur auf, wenn ich den Windows Media Player gestartet hatte. (Version 11)
Nach kurzer Zeit allerdings auch einfach so..ohne den MP gestartet zu haben, war je nach belieben. Ich konnte weiterhin meine Games ohne Probleme zocken.. was mich sehr gewundert hat.
Als ich dann Malwarebytes Anti-Malware installiert hatte, bzw. es versucht, stürzte der Rechner bereits bei der Installation der Software ab. So weit so gut, neu gebootet und nochmal probiert. Installation abgeschlossen, wenn ich jedoch die Software starten wollte bekam ich nur eine Fehlermeldung (weiss leider nicht mehr genau welche!) Das Programm lies sich einfach nicht starten. Ich installierte daraufhin XP neu, da das System sowieso frisch war und es bei dem PC recht flott ging es neu aufzuspielen. Tja.. wenn es doch so einfach wäre. Als das zweite System (XP) aufgesetzt war, lief alles soweit..doch dann ging der Humbuck von vorne los. Anfangs dachte ich noch an einen defekten Treiber, da ich gelesen hatte, dass es mit manchen Soundtreibern und dem MP11 zu Komplikationen kommen kann, doch die neusten Treiber halfen alles nichts.
Nun gut, Avira Antivir war schnell gedownloadet, da Anti-Malware wieder nicht ging. Als ich den ersten Scan startete blieb das System immer an der gleichen Stelle hängen.. genau als er eine Datei im System32 Ordner gefunden hatte, DUMMERWEISE weiss ich den Namen leider nicht mehr! Ich habe also rebootet und mir gleich mal die benannte Datei angeschaut, es war eine XML-Datei die an diesem Tag "erstellt" wurde. Gleich mal mit dem Editor geöffnet und siehe da: Ein Keylogger! Glaube ich zumindest, da diverse Spiele-Titel im Quelltext (z.b. Call of Duty, Half Life, usw..) standen. Ich muss sagen ich bin kein PC-Experte und auch mit XML/HTML oder wie auch immer kenne ich mich auch nicht besonders gut aus..dass es sich dabei jedoch um einen Keylogger handelt war mir sofort klar. Diese Datei also gelöscht und rebootet.. wieder Avira angeschmissen..wieder hing sich das System auf! Ich habe dann noch einen anderen, unbekannteren, Malwarescanner (Freeware) ausprobiert. Auch dieser hing sich bei einem bestimmten Scanfortschritt immer auf - das ganze System meine ich natürlich!
Habe es dann nochmals mit Avira versucht und dieser hat dann auch mehrere Viren/Malware gefunden, an die 7 - bis sich der PC wieder aufhing. Als ich dann rebootet habe und Avira gestartet hatte schmierte der PC sofort ab, als ich das Programm startete. Ich konnte nichtmal mehr den Scanbutton drücken! Echt mieses Zeug hab ich mir da eingefangen.

Wie ich jedoch noch sehen konnte, waren es diesmal Dateien auf der D:/ Partition - ich habe zwei Paritionen, eine für das OS und die andere für Daten/Backups usw! Auf dieser Partition (D:/) hatte ich auch backups noch vom ersten System, auf dem ich mir wohl das Zeug eingefangen habe - bei einer dieser Dateien im Scanvorgang hing sich das System immer auf. Kann es sein, dass sich die Malware/Viren bereits auf die zweite Partition geschlichen haben? Anders könnte ich mir es nicht erklären, da ich das System ja neu aufgesetzt habe und davor auch formatiert habe. Nun habe ich allerdings folgendes Problem: Wenn ich nun versuche Windows neuzuinstalliert hängt sich der PC ebenfalls immer mal wieder auf. Immer mal wieder ist übertrieben, da ich es gestern nur einmal probiert habe.. nach mehreren Anläufen - da einmal nach dem Kopiervorgang der Daten im WinXP Setup nach dem Reboot der NTLDR gefehlt hat und beim zweiten mal hat sich der Rechner beim Abschluß der Installation auch aufgehängt!

Ich vergas ausserdem zu sagen, dass ich die Partition D:/ davor auch noch im Windows formatiert habe (Rechtsklick - formatieren!) um sicher zu gehen, dass auf der D:/-Partition keine vielleicht infizierten Dateien mehr enthalten seien können.

Ich weiss einfach nicht mehr weiter..ich dachte ehrlich ich wäre fit in Sachen Internet und bin bis dato eigentlich auch immer mit einem Virenbefall/Malwarebefall klargekommen, doch was da abgeht ist echt hart!

Gibt es überhaupt solch hartnäckig Malware? Kann es alles an der obengenannten MP3-Datei liegen? Ich wäre sehr dankbar, wenn sich jemand diese Datei mal anschauen könnte - aber VORSICHT! Ich will hier niemanden das gleiche an den Hals wünschen! Bitte nur Leute die sich damit auch wirklich auskennen und mit sicheren Tools an die Datei rangehen!
Was kann ich tun? Das ärgerlichste ist für mich, dass ich am Montag auf eine LAN-Party nach Essen fahren wollte, natürlich mit meinem neuen Rechner. Man man man..

Ich hoffe wirklich sehr, dass ich hier ein wenig Hilfe von euch bekommen könnte.

Einen lieben Gruß aus München,
Hadizzle

#2 Hallo und Willkommen

Den Link habe ich entschärft. Es kann nicht sein, dass sich jemand auf protecus.de einen Virus runterlädt. Du hast das System ganz neu aufgesetzt und denoch solche Probleme? Also für ein frisches System ist dies wohl nicht sinnvoll, eine Reinigung durchzuführen. Bitte setzte die Kiste nach Anleitung neu auf und dann schau wie es läuft:

Windows XP neu aufsetzen

Nimm den Rechner vom Netz. Nimm Dir Zeit und besorge Dir vorab alles, was Du brauchst. Zur Hand haben solltest Du Deine Windows-CD, die Treiber vom Motherboard und von der Grafikkarte und evtl. nötige Treiber für spezielle Tastaturen. Falls auf Deiner Installations-CD nicht vorhanden, besorge Dir unbedingt vorher Service Pack 2 sowie Service Pack 3 und ein Anti-Virus-Programm (Freeware z. B.: AntiVir - AVG Antivirus Free Edition - Avast4). Installiere SP2 und das Anti-Virus-Programm auf jeden Fall, bevor Du das erste Mal mit dem neu aufgesetzen Rechner online gehst!

Hier einige Links, die Dir bei der Neuinstallation hilfreich sein können. Drucke eine Anleitung aus, damit Du sie zur Hand hast, falls bei der Installation Fragen auftauchen.

• WindowsXP Installation
• Wie setze ich den PC/Laptop neu auf? von Affa
• Bebilderte Anleitung zum Neuaufsetzen von Affa als druckbare PDF-Version
=> Diese Anleitung am besten vorher ausdrucken!
• Windows XP Home neu installieren von Microsoft

Bevor Du mit der Neuinstallation beginnst, sichere Deine persönlichen Daten wie Dokumente, Bilder, Lesezeichen (Favoriten), Musik auf ein externes Medium (CD, DVD oder externe Festplatte), aber keine ausführbaren Programme sichern, wie beispielsweise Dateien mit den Endungen .exe, .dll, .vbs, .bat, .com oder .scr (das sind umbenannte .exe als Bildsschirmschoner). Schreibe Dir evtl. spezielle Einstellungen genau auf. Zugangsdaten und Passwörter wirst Du vermutlich notiert haben . Nach dem Formatieren ist alles weg! Wenn Dein Rechner mit einer Backdoor, einem Passwort-Stealer oder einem Keylogger infiziert war, bitte neue Passwörter benutzen. Wenn Du das alles erledigt hast, kannst Du die Windows-CD einlegen und die Festplatte neu formatieren und Windows installieren. Beim Formatieren solltest Du Dein Windows auf einer separaten Partition speichern, dazu reichen ca. 10/15 GB. Der erste Weg im Netz sollte Dich zur Windows-Update-Seite führen. Lasse benutzerdefiniert nach verfügbaren Updates/Patches suchen und installiere alle angebotenen Patches und wiederhole das so oft, bis Dir nichts mehr angeboten wird. Außerdem solltest Du beim Installieren von neuer Software unbedingt darauf achten, dass Du "benutzerdefiniert" installierst, und Toolbars und sonstige "Sponsoren"-Software nicht mitinstallierst, also per Haken rausnehmen abwählst!

Treiber-Installation - Reihenfolge

1. Windows installieren
2. Chipsatztreiber installieren
3. Soundkartentreiber installieren (falls vorhanden)
4. Grafikkartentreiber installieren
5. weitere Treiber für Peripheriegeräte installieren (falls vorhanden)
6. DirectX installieren
7. Anti-Virus-Programm installieren
8. Fehlende Windows-Updates online installieren
9. Service Packs installieren.

Falls Du noch Fragen hast, gerne

Linkliste für die Druckversion:

• http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a
• http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
• http://www.free-av.de/
• http://free.avg.de/
• http://www.avast.com/ger/avast_4_home.html
• http://www.timetraveler.ch/xp.html
• http://forum.hijackthis.de/showthread.php?p=65671
• http://image.hijackthis.eu/anleitungen/PC.neu.aufsetzen.pdf
• http://derbilk.de/malware/1_anleitungen_neuaufsetzen.php
• http://support.microsoft.com/kb/896526/DE/
• http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=de
• http://www.microsoft.com/directx

#3 Erstmal danke für die Antwort

Kann es also nicht an der Malware/Viren liegen, dass mein System auch bei der Windows-Installation einfriert? Wie gesagt, davor konnte ich Windows ganz normal installieren ohne große Probleme.

Ich hatte bei meinem zweiten System auch ein BIOS-Update gemacht..könnte sich die Malware etwa dort auch festgesetzt haben?
Wenn dies nicht der Fall ist müsst es sich ja eigentlich um einen Hardware-Fehler handeln, oder nicht?

#4

Zitat

hadizzle postete

...
Ist es möglich, dass sich jemand evtl. diese Datei mal ansieht? Ich hatte zu dem Zeitpunkt leider noch keine Antiviren/Malsoftware drauf!!!!!
...

Würde ich in einer Sandbox machen, aber nachdem es sich bei MP3 in der Regel um rechtlich geschützte Inhalte handelt, sehe ich den Download der MP3 als möglichen Rechteverstoß.

Viele Grüße
Michael

#5 Wenn Du ALLES komplett formatiert und neu aufsetzt und nicht nur XP drüber installierst, dann sollte nichts mehr vorhanden sein.


Deaktiviere bitte alle Hintergrundwächter (antiviren Programm usw)

Lade Dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.
Poste bitte das Logfile
Halte dich dafür bitte an diese Anleitung:
rootkit in master boot record

#6 So,

hier ein kleines Update!

Ich habe mein XP nach den obengannten Regeln installiert. Als das System neu drauf war habe ich die Treiber installiert bis ich alles notwendige draufhatte. Nun wollte ich testweise einen Virenscan machen, da ich ja davor auch nach dem Formatieren (schnell Formatierung - dieses mal auch) die selben Probleme hatte wie bei meiner ersten XP-Installation. (benanntes Problem - s.o. ! )

Doch bereits bei der Installation von Avira Anti-Virus fror der PC wieder direkt ein! Reboot .. und direkt das gleiche mit AVG Antivirus ausprobiert.. selbes Spielchen! Allerdings fror der PC nicht bei der Installation ein, sondern beim ersten Optimierungsscan (bereits nach ein paar Sekunden).

Was um Himmelswillen ist das? Muss es sich hierbei um einen Hardwareschaden handeln? Ich denke eher nicht.. alles lief einwandfrei bis ich die Antivirensoftware zu installieren versuchte! Das kann doch kein Zufall sein..

Ich habe mir nochmals die obengenannte XML-Datei, welche sich im \system32-ordner befindet angeschaut. Der Name lautet "nvapps.xml" .. klang mir im ersten Moment sehr nach einer Datei von Nvidia..könnte man beim Inhalt auch meinen, da wie gesagt mehrere Spieletitel dort zwischen HTML-Code eingefügt sind. Handelt es sich hierbei um einen Keylogger? Ich habe dann direkt mal nach der Datei gegooglet und musste mit erstaunen feststellen, dass ich direkt auf mehrere Antivirenforen verlinkt wurde. Ist das Zufall?

Ich weiss einfach nicht mehr weiter! Könnte es daran liegen, dass ich nur die Schnellformatierung im Windows Setup genutzt habe? Sodass evtl. noch restliche Daten auf der Platte enthalten sind? Ich hatte ausserdem auch mein Laufwerk D:\ unter Windows nochmals formatiert, allerdings nicht die schnelle Formatierung, um sicher zu gehen dass sich dort wirklich keine Dateien mehr befinden "könnten". Als der Ladebalken ganz am Ende angekommen war hing sich das System auch wieder auf.

Was tun!? Ich verzage hier langsam

Lieben Gruß und danke für die bereits gegebene Hilfestellung.

Hadizzle

#7 Mach mal das mit MBR, was ich oben gepostet habe.

#8 So,

habe ich mal ausprobiert. Scheint aber nichts gefunden zu haben! Komischerweise musste ich die mbr.exe zweimal ausführen, da beim ersten mal keine Log-Datei erstellt wurde.
Ich habe diese mal als Anhang dazugepackt.

Was nun? :/

#9 Ich frage einmal ganz frech: Hast du eine Original Windows CD??

#10 Ja, spielt das 'ne Rolle?

#11 Ja das spielt eine Rolle. Ich denke fast, dass DU keine Original Version hast...
Bitte poste mir ein HJT Logfile.

Lade das Tool MGADiag.exe von dieser Seite herunter, führe es aus und kopieren den Output per Copy&Paste (den Button Copy drücken) hier in den Thread.