Win32/Pdfjsc.YN & JS/BlacoleRef.G auf Windows 7

#1 Hallo Leute,

leider hat meine Frau auf Ihrem Laptop mit einem alten Adobe Reader eine infizierte PDF von der Uni mitgebracht und geöffnet. Nun hat Sie Win32/Pdfjsc.YN & JS/BlacoleRef.G auf dem Laptop.

Ich habe keine Zeit mich um eine Reinigung des Rechners zu kümmern. Der schnellste und in meinen Augen sicherste Weg ist einmal formatieren und Windows 7 neuinstallieren.

Auf dem Rechner befinden sich auf anderen Partitionen Daten. Am liebsten würde ich diese auf eine Festplatte sichern und alle Partitionen formatieren.

Welche Chance ist größer, das diese Schadsoftware clever genug ist sich auf anderen Partitionen zu sichern, oder auf angeschlossene Festplatten?

Die PDF wurde mit einem Nutzer Account geöffnet, ohne Administratorenrechte.

Wie verfahre ich mit genutzten Webmail Konten? Soweit ich lesen konnte sind diese beiden die "vorstufe" um dann ein Rootkit nachzuladen. Haben diese schon vor dem Rootkit einen Keylogger? Ich hätte alle Passwörter geändert. Auch vom Zugang auf die Universitätswebsite. Dinge wie Onlinebanking hat meine Frau glücklicherweise bevor wir es entdeckt haben nicht getan.


Viele Dank

#2 Schritt 1

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread



ACHTUNG: Falls Du ein 64Bit System hast musst du den nächsten Schritt nicht machen.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!


Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.

• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".

Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).

• Wenn der Scan fertig ist, bleibt die Zeile leer.

Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

#3 Hallo Swisstreasure,

das sind alles tolles und sicherlich liebgemeinte copy&paste Hinweise. Ich habe schon herausgefunden mit was der Rechner infiziert ist, dazu muss ich mir nicht drei weitere Programme deren Usprungsort (geekstogo?) fragwürdig ist installieren.

Leider blieb meine wichtigste Frage unbeantwortet. Kann ich mit einem formatieren der C Partition sicher sein Win32/Pdfjsc.YN & JS/BlacoleRef.G losgeworden zu sein oder sollte der komplette Rechner formatiert sein. Besteht die gefahr das die beiden sich auf angeschlossene Datenträger übertragen?

Danke

#4

Zitat

copy&paste Hinweise

Tut mir also Leid dass ich das nicht bei 8000 Beiträgen welche ich auf den Foren gemacht habe jedesmal neu schreibe.

Zitat

mir nicht drei weitere Programme deren Usprungsort (geekstogo?) fragwürdig ist installieren.

Dann hast Du Dich damit aber nicht befasst.

Ich wollte mir ein Bild über das System machen mit den Logs aber das geht halt so nicht.

#5 Eher 5000 oder?

Die eingefangene Schadsoftware ist bereits identifiziert und somit leuchtet mir nicht ein was Logs erstellt von fragwürdigen Drittprogrammen helfen um meine Frage zu beantworten. Ich werde diese nicht installieren und so verfahren wie ich es für richtig halte.

Chance das jemand mit diesen beiden schon Erfahrung gemacht hat bzw. Tipps zur Datensicherung mit dem möglichst geringen Risiko Win32/Pdfjsc.YN & JS/BlacoleRef.G mitzusichern hat war da.

#6

Zitat

Eher 5000 oder?

Ja hier..
Da gibts aber noch Trojaner-Board.de / Hijackthis-forum.de / Pctipp.ch

Zitat

Die eingefangene Schadsoftware ist bereits identifiziert und somit leuchtet mir nicht ein was Logs erstellt von fragwürdigen Drittprogrammen helfen um meine Frage zu beantworten. Ich werde diese nicht installieren und so verfahren wie ich es für richtig halte.

Du kommst hierher um Hilfe in Anspruch zu nehmen aber stellst solche Forderungen...

Aber egal. Mal schauen wer hier Dir noch die Hilfe anbietet.

#7

Zitat

Ja hier..
Da gibts aber noch Trojaner-Board.de / Hijackthis-forum.de / Pctipp.ch

Meine Güte, Swiss was los mit dir - zuviel Zeit? (und das zur Weihnachtszeit).
Lass dich mal lieber fürstlich bezahlen...

@reingefallen
ich bin für cat /dev/zero > /dev/sda ^^
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8

Zitat

Lass dich mal lieber fürstlich bezahlen...

Wäre doch auf die Weihnachtszeit eine gute Idee

Zumal ich da noch Ausbilder in Sachen Malware auf dem Trojaner-board und Hijackthis-forum bin

Ich sage dem gutes Hobby.