USB-Geräte werden nicht gefunden

[Garotzel]

Hallo, ich hoffe ich mache alles richtig.
Als ich versuchte heute meinen Ipod anzuschließen erkannte, der PC auf einmal meine USB Maus nicht mehr. Auch ein Neustart half nicht. Ich schaltete ihn aus und als ich ihn mehrere Stunden später wieder anstellte war alles ok. Aber nur bis ich versuchte meinen IPod wieder anzuschließen. Seitdem meldet er andauernd, dass Ein USB Gerät nicht erkannt werden kann. Auch wenn gerade keins angeschlossen ist. Zu dem Verdacht, dass irgendwas nicht mit rechten DIngen zugeht komme ich, weil meine AntiVir Guard merkwürdigerweise deaktiviert ist und kein Scan durchgeführt werden kann, weil eine bestimmte Datei fehlen würde.
Eine Systemwiederherstellung hat nichts gebracht.

Meine Logfile


Vielen Dank für die Hilfe

[Petra]

zunächst bitte anklicken und aufmerksam durchlesen: Worauf muss ich während der Bereinigung achten?

===== Punkt 1 =====

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:

Malwarebytes - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scan.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

===== Punkt 2 =====

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Output.
  Wähle bitte Minimal Output
• Unter Extra Registry wähle bitte Use SafeList.
• Klicke nun auf Run Scan links oben.
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt.
  In der Regel findest Du die Logfiles hier: C:\_OTL\OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

===== Punkt 3 =====

Dateiliste mit HJTscanlist.bat erstellen

Da ein HJT-Logfile nur bedingt aussagekräftig ist, möchten wir den Inhalt einiger kritischer Verzeichnisse auf Deinem System ansehen. Dazu lade folgende Datei herunter HJTscanlist.zip. Entpacke die Datei auf Deinen Desktop. Auf dem Desktop befindet sich nun die Datei HJTscanlist.bat, diese doppelklicken, um sie zu starten. Wähle Dein Betriebssystem aus (bei Windows 7 wähle Vista). Bei Abfrage der Einstellung benutze bitte die Auswahl Nr. 1 (Scanlist). Nun wird die Dateiliste erstellt und in Deinem Editor geöffnet und als hjtscanlist.txt auf Deinem Desktop gespeichert. Poste mir den Inhalt der Dateiliste hier in den Thread. Bei diesem Log brauchst Du keine Code-Tags setzen, da sie im Log schon enthalten sind


===== Punkt 4 =====

Wenn Dein Antiviren-Programm Malware gefunden hat, schreibe uns möglichst genau die Namen der Funde auf, und in welchem Pfad sie sich befinden/befanden. An die nötigen Informationen kommst Du über die Logs/Berichte bzw. den Quarantäne-Ordner Deines Antiviren-Programms.

Berichte, welche Programme Du evtl. schon genutzt hast, um das Problem zu lösen und poste nach Möglichkeit die Logfiles.


===== Punkt 5 =====

Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen.

[Garotzel]

Zunächst einmal Danke.


Ich glaub ich hab alles erledigt.

Ich hatte eine Zeitlang keine Probleme mehr. Aber als ich heute den Ipod wieder angeschlossen habe, ist sofort das gleiche passiert. Vielleicht ist es doch ein Hardware Fehler.

Also:
gefunden hab ich:

Code:

Trojan Downloader:Win32/Bagle.gen!A

Elemente: 
containerfile:E:\$RECYCLE.BIN\S-1-5-21-1645836435-351757921-3186854663-1001\$ROMROLB.zip
file:E:\$RECYCLE.BIN\S-1-5-21-1645836435-351757921-3186854663-1001\$ROMROLB.zip->crack/keygen.exe

Es wurde gelöscht durch windows Essentials, das ich installiert habe, weil Anti Vir nicht mehr lief.

[Petra]

Ist in dem Fall der iPod das Laufwerk E:\ gewesen? Falls ja, ist er mit einem sehr zerstörerischen Wurm namens Bagle verseucht. Der iPod muss formatiert werden, bevor Du ihn weiter benutzt. Das heißt komplett formatieren im von Apple vorgegbenen Format, also entweder FAT oder FAT32 und dann über iTunes die Software erneut aufspielen, denn nur so ist der iPod wieder wie im Auslieferungszustand.

Zu dieser Infektionsart "Bagle" hier jetzt erstmal ein paar Infos, die Du Dir in Ruhe durchlesen musst. Bagle ist eine Infektion, die mit Rootkittechnik arbeitet.


Infos zu Bagle

Die Tatsache, dass Dein Anti-Virus-Programm deaktiviert wurde deutet darauf hin, dass auch Dein Windows 7 bereits mit Bagle infiziert ist. Der Wurm tarnt sich mit verschiedenen versteckten Dateien, z.B.: hldrrr.exe, hidr.exe, srosa.sys oder wintems.exe und legt nicht sichtbare Ordner an (Rootkit). Selbst wenn ein Ordner mit einem Rootkit Tool gefunden und gelöscht wird, legt Bagle neue versteckte Ordner an. Zusätzlich kopiert sich die Datei hldrrr.exe in verschiedene versteckte Ordner, sobald versucht wird, diese zu löschen. Da es kaum möglich ist, mit Virenprogrammen alle hldrrr.exe Würmer gleichzeitig zu finden, ist ein Wiederherstellen des Systems fast ausgeschlossen.

Tue Dir selbst einen Gefallen und setze den Rechner neu auf. Ich zitiere hier mal Karl:

Also ein Rootkit ist eine Technik, bestimmte Sachen in einem System zu verstecken. An und für sich ist das nichts Böses, es kommt auf den Einzelfall an, z.B. benutzen die beliebten Daemon Tools auch eine solche Technik, in diesem Fall geht es darum, ein Programm nicht merken zu lassen, dass das CD-Laufwerk simuliert ist. Diese Rootkits, die gerade Dein Problem sind, sind aber eine bösartige Anwendung dieser Technik. Was die auf Deinem System verborgene Malware im Einzelnen machen kann (die Rootkit-Komponente versteckt nur was anderes), weiß ich nicht, gehe aber mal vom Schlimmsten aus, d. h. dass alle auf diesem System benutzten Passwörter verraten wurde, alle Deine Eingaben überwacht wurden, usw.

Bagle richtet außerdem schwere Schäden am System an, u. a. zerstört er den abgesicherten Modus. Deshalb bis auf weiteres nicht versuchen, den Rechner in den abgesicherten Modus zu starten. Wenn Bagle nicht mehr aktiv ist, kann man versuchen, den zu reparieren. Allerdings nur in einer Standardversion, sollte Dein System spezielle Einträge für den abgesicherten Modus brauchen (selten, kommt aber vor), dann wird eine Neuinstallation erforderlich. Ach ja: Neuinstallation wäre mit Sicherheit der einfachste und schnellste Weg, ein sicheres und gut funktionierendes System zu bekommen. Das nur mal so am Rande.

Leider sind in letzter Zeit viele Versuche, einen Rechner von Bagle zu befreien, fehlgeschlagen und endeten darin, dass der User trotz oft tagelanger Arbeit neu aufsetzen musste. Ich schreibe Dir das gleich vorab, damit Du selbst entscheiden kannst, ob Du es trotzdem versuchen möchtest. Falls Du eine Reinigung probieren möchtest, sage mir Bescheid, richtige Dich aber auf eine längere und sehr aufwändige Reinigung ein (deren Ende wiegesagt offen ist).



Ergo: Als allererstes müssen wir herausfinden, ob Dein Windows 7 tatsächlich bereits mit Bagle infiziert ist, worauf das deaktivierte Anti-Viren-Programm hindeutet. Um sicher zu sein, machen wir einen Rootkit-Scan:

Rootkit-Suche mit Sophos Anti-Rootkit

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

• Gehe zu Sophos und lade deren Rootkitescanner herunter.
  (Bebilderte Anleitung in Englisch) - Kurzanleitung in Deutsch.
• Zum Download ist eine Registrierung nötig.
• Das Programm ist auch für Vista und Windows 7 geeignet.
  Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenzbestimmungen und lasse das Programm installieren,
  ändere den vorgegebenen Pfad C:\programme\sophos\sophos anti-rootkit nicht.
• Schließe alle anderen Programme und gehe mit dem Explorer in diesen Ordner und starte sargui.exe.
  
  
• Lasse unter Area alles angehakt und starte den Scan mit "Start scan".
  Der Scan dauert einige Zeit, wenn er fertig ist, poppt ein Fenster auf mit
  einer Zusammenfassung, klicke dort "Ok".
• Beende den Sophos Rootkitscanner, dieser Scan dient zunächst nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche),
  dort gibt es eine Datei namens sarscan.log, deren Inhalt bitte posten.

[Garotzel]

Bevor ich das alles mache. Zunächst noch ein paar Infos:
E: ist nicht der IPod sondern meine Datenpartition. Dazu hab ich noch eine externe Festplatte G:. Diese lässt sich jedoch problemlos anschließen, ohne dass der PC plötzlich die Kontrolle über die USB Anschlüsse verliert.
Soll ich trotzdem alles so machen wie du geschrieben hast?

[Petra]

ja, bis auf das Formatieren des iPods

Und beim Rootkits-Scan mit Sophos darauf aufpassen, dass auch E:\ geprüft wird - also "Local hard drives" auch angehakt ist.

[Garotzel]

*Seufz* Na gut, ich hab morgen noch ne Klausur danach kümmer ich mich drum und meld mich dann. Ich denke ein Tag Aufschub wird nicht zum totalen Absturz führen.
Danke für die schnellen Antworten.

[Petra]

Na dann mal viel Glück für die Klausur

Sichere auf jeden Fall ganz wichtige Dokumente auf ein externes Medium.

Mache möglichst wenig auf dem Computer, denn bedenke: Falls Bagle aktiv ist, wird er sich jede Datei "krallen" und infizieren, derer er habhaft werden kann. Sprich, je mehr Du machst, umso größer ist die Gefahr. Bagle ist leider ein rechter Sausack

[Garotzel]

Danke. Die Klausur lief so lala. Der Scan meines Erachtens auch. Also nichts.


Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 10.02.2010 at 15:40:08
User "Frederik" on computer "MOTHERBEETLE"
Windows version 6.1 SP 0.0 build 7600 SM=0x300 PT=0x1 WOW64
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Info: Starting disk scan of E: (NTFS).
Info: Starting disk scan of G: (FAT).
Stopped logging on 10.02.2010 at 15:58:45

Ich hoffe das ist das richtige Log. Es gab in dem Ordner nur eine einzige .txt Datei die scarscan hieß.

Hab ich vielleicht was falsch gemacht? Das Programm wurde nicht unter C/Programme sonder in Program Files installiert, aber sowas macht ja normalerweise nichts aus. Außerdem ging die Überprüfung der Festplatte auf einmal sehr schnell.

[Petra]

nein, hast nichts falsch gemacht. Vielleicht (und das wollen wir hoffen) ist der Bagle nicht aktiv. Kontrollieren wir es noch zusätzlich wie folgt:

Malware mit Dr. Web CureIt! beseitigen

Downloade Dr. Web CureIt! und speichere es auf Deinem Desktop.
Dr. Web CureIt! ist für alle Computer mit MS Windows 95OSR2/ 98/Me/NT 4.0/2000/XP/2003/Vista und Windows 7 Betriebssysteme geeignet.

• Schalte Dein Antiviren-Programm ab.
• Starte die launch.exe durch Doppelklick.
• Dr. Web CureIt! legt nun automatisch einen eigenen Order in Deinem Userprofil an:
  C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb
• Klicke auf "Starten".
• Breche die Schnellüberprüfung ab.
  (durch Klick auf den viereckigen grünen Button (rechts in der Mitte).
• Stelle bei dem Reiter "Scannen" auf "Komplett scannen" um.
• Starte nun den Komplett-Scan durch Klick auf den dreieckigen Button.
• Wenn Funde gemacht werden, bitte desinfizieren lassen,
  sollte das nicht möglich sein, die Funde verschieben lassen.
• Wenn der Scan beendet ist und Funde zu verzeichnen waren:
  im Menü auf Datei und Berichtliste speichern
  und als DrWeb.cvs auf Deinem Desktop speichern.
• Poste den Inhalt von DrWeb.cvs hier in den Thread.