Ein Virus? Firefoxfehler mit PR_END_OF_FILE_ERROR, DllRegisterServer in c:\programdata\*.dat erfolgreich durchgeführt [gelöst]

[aarroz]

Hallo, liebe Freunde von Deskmodder,

... und ich bin sonst so vorsichtig, wenn es um Öffnen von Dateianhängen geht ...

Ich habe heute in Antwort auf eine Mail von mir eine Mail eines bekannten Absenders bekommen.
Das passte auch zum Verlauf meiner anderen Aktivitäten mit dessen Firma.
Inhalt: ein bissel kurzer Text, wie ich es von dem Menschen gewöhnt bin, eine zip-Datei, und ein
Passwort für die zip-Datei.
In der Zip Datei ein Word-Dokument, (*.doc, noch nicht *.docx), in dem ich Macros aktivieren musste.

Seitdem bekomme ich im Firefox für die meisten Seiten die Fehlermeldung
"Beim Verbinden mit <URL> trat ein Fehler auf. PR_END_OF_FILE_ERROR"

Und regelmäßig erscheint in einem Windowskästchen die Meldung:
"DllRegisterServer in c:\programdata\64299692.dat erfolgreich durchgeführt"

Die Datei lässt sich nicht löschen, da "die Datei in Microsoft (C) Register Server geöffnet ist".

Mit dem Absender ist mittlerweile geklärt, dass die Mail nicht von ihm ist.

Was kann ich tun?
Wie werde ich den Virus wieder los?
Ist es sinnvoll, den Rechner erst mal in abgesichertem Modus zu starten und zu versuchen,
diese Datei umzubenennen oder zu löschen?
Kann es helfen, den Rechner auf irgendeinen (?) Zustand vor dem letzten W10-Update zurückzusetzen
und dann diese Datei zu löschen?

Schrittweise, DAU-gerechte Anleitungen (für alles) sind herzlich willkommen.

Vielen Dank, freundliche Grüße
Andreas
.
.
.
PS und Update:
Ich habe jetzt den Rechner in abgesichertem Modus gestartet und die Datei umbenannt. (Neuer) Präfix,
Dateiname verfälscht, dat gelassen, (neue) Extension.
Danach funktioniert offensichtlich der Aufruf der Seiten im Firefox wieder. Bis jetzt kam auch noch
keine weitere Meldung "DllRegisterServer in c:\programdata\64299692.dat erfolgreich durchgeführt".

Schade ist, dass ich meine -zig Firefox-Fenster geschlossen hatte - ich lass doch immer so viel offen.

Obwohl jetzt alles ruhig scheint, bin ich doch beunruhigt.
Diese Datei (ob nun die Word-Datei oder die 64299692.dat, wo auch immer die herkam ... ) hat irgendwas
mit meinem Rechner gemacht ... - wie kann ich das zurückdrehen oder auf den Stand vorher kommen?

Danke!

[Tante Google]

[moinmoin]

Hast du eine Sicherung von einem Backup-Programm erstellt?

Wenn nicht würde ich da nicht herumdoktern, sondern neu installieren. Ein Zurücksetzen per Wiederherstellungspunkt wird die Änderungen in ProgrammData sicher nicht ändern.

Denn du weißt nicht genau, wo sich diese Dateien überall im System festgesetzt haben.

[GwenDragon]

Das ist genau das Problem, dass Leute unsignierte Mails bekommen und dem Inhalt bedingungslos vertrauen, nur weil auf dem Mailumschlag ein Absender steht, der aber gefälscht sein kann.

Wer Zip-Dateien bekommt, sollte schon vorsichtig sein. Wenn dann darin Word-Dateien sind, die Makros aufrufen, sollten gleich dreimal Alarm-Sirenen hupen.
Denn das ist der übliche Weg Leuten, Trojaner/Erpressungsmalware unter zu jubeln. Und die sind meist nicht durch Defender oder sonstige AV-Software zu erkennen.

@aarroz Viel Erfolg beim Neuaufbau deines Windows.

[aarroz]

Hallo moinmoin, hallo GwenDragon,

vielen Dank für Eure Antworten und dafür, dass Ihr Euch mit meiner Frage beschäftigt habt.

@GwenDragon:
Wenn ich schreibe - "ich bin sonst so vorsichtig ...", dann bitte ich, mir das zu glauben ...
Und wenn die Mail nicht zur gerade laufenden Zusammenarbeit mit dem Mitarbeiter dieser Firma gepasst hätte,
zeitlich wie inhaltlich, und wenn sie nicht als Antwort auf eine Mail von mir (mit einem vollen Zitat meiner Mail)
gekommen wäre, wäre ich wahrscheinlich aufmerksamer gewesen.
Deine Hinweise sind sicherlich völlig korrekt, helfen aber in keiner Weise weiter.


@moinmoin:
Nein, ich habe keine Sicherung.
Was für ein Backup Programm kannst Du mir für die Zukunft empfehlen? In welchem Zyklus sollte man das einsetzen?

Frage 2: Ist es sinnvoll, außer dem als ausreichend angesehenen Windows Defender weitere Firewalls oder Viren-
scanner zu installieren? Wenn ja, welche?

Zwischenfrage vor Frage 3: Wäre es sinnvoll, vor Neuaufsetzen des Systems den Desinfec’t 2020 zu kaufen und
über das System laufen zu lassen, oder ist das Deiner Erfahrung nach vergebliche Liebesmüh?

Frage 3: Gibt es irgendein (beschriebenes) Vorgehen, um mir die Neuinstallation und die Neukonfiguration des
Rechners zu erleichtern? Sicherung und Wiederverwendung von Einstellungen? Irgendein Auslesen der Einstellungen
in eine Text(?)datei, um danach vorgehen zu können? Auslesen der installierten Programme zum gleichen Zweck?
Wie gehst Du vor beim Neuaufsetzen des Systems?

PS:
Das Schlimme ist - ich benutz den Rechner im Moment für's Homeoffice - ich gehe damit über sslvpn in die Firma.
Ich kann mir einen Ausfall eigentlich überhaupt nicht leisten ...

Danke nochmal, und bis morgen!
Viele Grüße
Andreas

[Javora]

Ganz sicher ist keine Herangehensweise, besonders wenn Daten übernommen werden.
Werden keine Daten gebraucht, wird wohl Neuinstallation ohne Datenübernahmen am günstigsten sein.

Ist/ sind Backup/ Backups vor dem Vorfall vorhanden, kann man das System damit wieder herstellen. Allerdings kann auch zu diesem Zeitpunkt das System bereits infiziert sein, ohne dass es auffiel.

Fehlen Backups und Daten sollen weitergenutzt werden, bleiben Versuche, das System auf Schadsoftware zu prüfen und diese zu beseitigen, um bspw. die Daten daraus zu retten zur Verwendung nach einer Neuinstallation oder ggf. auch ohne.

Beim Ganzen Prozedere sind Datensicherungen das A und O.

Eine allgemeine Anleitung ins Detail ist insoweit vermutlich einfach nicht machbar, weil alles viel zu ungewiss und zu umfangreich aus meiner Sicht, auch sehr von Schritt für Schritt der Situation/ dem Ergebnis abhängig und selbst im idealsten Falle bleibt ein Restrisiko (doch das kann es auch ohne diverse Ansätze ebenso ohne Systemmeldungen geben; es kommt eben drauf an; vorbehaltlich Tipps evtl. bei selektiven konkreten Problemstellungen.

Jedenfalls für die zumindest/ zumeist noch glücklicherweise Light – Situation schau bspw. zu möglichen Anregungen/ Ansätzen in diesem Thread:
https://answers.microsoft.com/de-de/pro ... 8ca?page=1
Dabei natürlich auch an alle externen Datenträger denken, Und bei Anwendung portabler/ portabler bootbarer Tools kann es vlt. von Vorteil sein, wenn diese möglichst von nicht wiederbeschreibbaren Medien ausgeführt werden.

Allgemeine bis hin zu eher atypischen Wartungsoptionen allein, wie hier wohl schon erwähnt, reichen nicht, mögen ergänzend, inkl. Aktualisierungen/ Einstellungen / Konfigurationen, vlt. jedoch mithelfen.

[Anonym]

Hallo,
Hatte das gleiche mit der zip Datei, auch von einem Bekannten absender.
Hab das aufgrund der Makros jedoch in nem virtuellen Windows gestartet und habe das Makro Mal Zurück-entwickelt. Folgendes habe ich rausbekommen:
Sobald du die Makros aktiviert hast wird windows power Shell gestartet und eine Reihe von variablen geladen welche bewirken das ein Script eine Datei von einer Website russischer urkunft herunterlädt.
Diese Datei ist wie oben genannt die 642... Desweiteren werden sämtliche C:\Users Ortner an die Quelle hochgeladen bzw. Öffentlich gemacht.
Die Datei 642... Führt die Befehle eines Angreifers aus und ist laut meiner meinung ein sehr böser Trojaner der eig. Alles mit deinem PC machen kann.
Der Trojaner erstellt im manchen Fällen außerdem die folgende "Wiederherstellungsdatei" : C:\Users\Public\DB_TGfNqo.RJFI_ ... Aber nur in manchen fällen.
Den Server an den die Daten gesendet bzw. Von dem Befehle kommen scheint kein vpn Server zu sein keine Ahnung wieso. Vllt. nen Anfänger welcher auch Mal Spaß haben wollte (-;
Hier der Link zum Server :. AUF EIGENE GEFAHR!!!

Code: Alles auswählen

HTTP://kwjqbk2fw9p8q5y.com

Der Link zur Datei welche runtergeladen wird:

Code: Alles auswählen

HTTP://kwjqbk2fw9p8q5y.com/gg88wyaftcxr7gu/wo0zz.php?L=sfzz.cap

Desweiteren gibt es in der Word Datei eine Stelle welche lautet; TrojanDownloader:O97M/Ursnif.ARJ!MTB
;-D
Außerdem hatt wohl irgent ein Mensch ;-D den Server abgeschlossen sodass er vermutlich erst Mal nicht mehr online geht... Wer das wohl war
Um sicherzugehen das alles jedoch sicher entfernt wird, rate ich DRINGEND zu einer neu Installation von Windows.
LG

[Anonym]

Edit;
Habe noch nen bisschen geguckt und es scheint zu 100% das das Skript den trojana Usnif herunterlädt
Dieser zeichnet Tastatur Einschläge auf teile den Bildschirm.... Also gehört der PC eigentlich dem Angreifer.
Lg

[moinmoin]

Mal zu deinen Fragen:

1. Für die Zukunft reicht Macrium Reflect Free. Einfach einmal einstellen wann die Sicherungen erstellt werden sollen und die Software macht dann alles im Hintergrund. Oder eben etwa 1x die Woche manuell
2. Der Defender reicht völlig. Und Desinfect brauchst du nicht, wenn du neu installierst inkl. Partitionen löschen während der Installation wie hier beschrieben
https://www.deskmodder.de/wiki/index.ph ... und_Tricks

3. Viel kann man da nicht machen, wenn man neu installiert. Wenn, sichere die Profile von deinen Programmen. Die kann man hinterher wieder zurückkopieren.

[Gast]

Zwischenfrage vor Frage 3: Wäre es sinnvoll, vor Neuaufsetzen des Systems den Desinfec’t 2020 zu kaufen und
über das System laufen zu lassen, oder ist das Deiner Erfahrung nach vergebliche Liebesmüh? (...)

Desinfect, das Heft, muss man nicht unbedingt kaufen, aber sinnvoll ist es schon.
Da ein Datenträger (leider?) nicht mehr im Heft enthalten ist, kann die ISO nach hinterlegen einer gültigen mailadresse (ne temp. reicht) auf der Projektseite heruntergeladen werden:
ct.de/desinfect2020
Diese ISO dann via rechtsklick 'bereitstellen', dann kann mittels Befehl Desinfect2USB_64_Bit.exe ein desinfect-Stick erstellt werden. Den stick, wenn nötig mit der.bat-Datei 'USB-Stick loeschen.bat' in \software\Win32DiskImager von alten störenden Resten befreien. Andere Beschreiber wie rufus funktionieren nicht.
desinfect ist generell sinnvoll. Wenn man von außen (!) auf bestimmte FP und/oder Partitionen schauen will/muss, zB. bei Schädlingen.

[aarroz]

Hallo an alle, guten Morgen

Vielen Dank für Eure Antworten. - Sieht ja nicht so gut aus für mich und meinen Rechner ...

Im Link, den javora mitgeschickt hat
https://answers.microsoft.com/de-de/pro ... 8ca?page=1
wird auf eine Deskmodder-Seite verwiesen:
https://www.deskmodder.de/wiki/index.ph ... _Varianten
=> Frage an @moinmoin: Reparierversuche, oder besser gleich neu aufsetzen?

@javora
Du sprichst von "Werden keine Daten gebraucht, ...", "Daten ... retten ...", "Daten sollen weitergenutzt werden ..." - das macht mir Angst ...
Klar habe ich Daten auf meinem System, die ich behalten möchte. Jedoch, so weit ich einschätzen kann, keine auf der Betriebssystem-Partition.
Bis auf die üblichen Verdächtigen: Die Daten, die sich im Users-Verzeichnis befinden:
- Firefox Profil
- Thunderbird-Profil (dafür hab ich eine externe Sicherung von vor 14 Tagen)
- andere?
Ansonsten liegen meine Daten auf 2 internen Platten und 2 Netzwerkplatten (an der Fritzbox).
Besteht die Gefahr, dass dieser sch... Trojaner an Daten außerhalb des Betriebssystems rangegangen ist?

@Gast
"Wenn man von außen (!) auf bestimmte FP und/oder Partitionen schauen will/muss, zB. bei Schädlingen."
Was bedeutet "von außen" ...?
Ist das dann ein sog. Bootstick? D.h., ich boote mit dem Stick und kann dann aus einer Oberfläche heraus meine Platten prüfen?

Danke und viele Grüße
Andreas

[moinmoin]

In deinem Fall besser neu.

Deine Profile hast du ja, Daten auf anderer Partition da geht das dann schnell.

Nimm einfach die Anleitung, die ich vorhin verlinkt habe und dann viel Spaß.

Gast meinte sicherlich vom Stick booten und dann schauen mit außen.

[Anonym]

Hallo,
Habe noch eine schlechte Nachricht,
Wenn du die infizierte Word Datei im gleichen Verzeichnis wie andere wird Dateien hättest kann es möglich sein das der Trojaner außerdem die anderen Word Dateien auch infiziert hatt.
Als bestes Antiviren Programm für diesen Virus, halte ich Malware-Bytes da dies eine relativ gute Softwarelösung gegen Makro Viren bietet.
LG

[Javora]

@ aaroz
Die wenigen Aussagen in meinem Post sind allgemeiner Art aus meiner Sicht/ meinen Erfahrungen.

Natürlich kann auch im Datenbestand Schadsoftware sein.

Eigentlich sollte es nichts Ungewöhnliches sein, sein System/ Speicher auch ohne Verdachtsmomente ab und an auf Schadsoftware zu prüfen;
egal was für Methoden die Scanner mehr oder weniger anwenden, sie erkennen u. U. einige Zeit später mehr.

Und wenn schon Verdacht/ Feststellungen, ….
Ist bestimmt besser als nichts tun, z. B. als Daten sichern und auf ein schön sauberes System draufspielen ohne zuvor zu prüfen.
Wird nichts festgestellt, umso besser.

Auch wenn das alles nicht 100 %ig ist, bedeutet es ja nicht, dass man es gleich ganz sein lassen sollte.

Der verlinkten Thread MS - Forum (in einem etwas anderen Kontext) wurde zufällig ausgewählt, weil in einem Post dort beispielhaft knapp einfache zusätzliche Checkmöglichkeiten (portable online, portabel und bootbar offline) für Schadsoftware mit Links aufgeführt sind. Ob man sich da nun anderen geeigneten derartigen Tools bedient, muss man dann schon selbst sehen.

[salpod]

"Wenn man von außen (!) auf bestimmte FP und/oder Partitionen schauen will/muss, zB. bei Schädlingen."
Was bedeutet "von außen" ...?
Ist das dann ein sog. Bootstick? D.h., ich boote mit dem Stick und kann dann aus einer Oberfläche heraus meine Platten prüfen?

c't desinfect ist ein auf linux basierendes live-Betriebssystem (zu erstellen auf stick oder opt-Datenträger = DVD). Damit wird ein Rechner gebootet, was auch sonst(?), damit man "von außen" ein evtl. befallenes Windows-System auf einen möglichen Befall untersuchen kann. Dazu gibt es 4 Scanner, dazu eine Spezial-Lösung für emotet. Es gibt bei heise genügend Seiten, wo das Projekt in allen Einzelheiten erläutert wird, Suchmaschien ist dein Freund...

[aarroz]

Hallo moinmoin,

ich hab in den Einstellungen noch ein bissel rumgesucht, eigentlich nur, um irgendwo einen Ansatz
zu finden, mir die Neuinstallation einfacher zu machen oder Einstellungen/Startmenü usw. zu sichern.

Was unterscheidet > Einstellungen > Update und Sicherheit > Wiederherstellung > "Diesen PC zurücksetzen"
von einer Neuinstallation gemäß der Beschreibung in Deinem Link?

Danke, viele Grüße
Andreas