Windows Explorer - Kopfzeile verschwunden - Screensaver-Virus

[Picardon]

Ich habe ein riesiges Problem. Leider bin ich auf einen Screensaver-Virus reingefallen, der nicht von meinem Antiviren-Programm erkannt wurde. Er sollte wohl primär die Haupt .exe-Datei der Spieleplattform "Steam" ersetzen, so dass die Logindaten erneut eingegeben werden müssen und diese dann an irgendwen weitergeleitet werden. Ich habe alle im "Steam"-Ordner (und Unterordner) zu dem Zeitpunkt erstellten bzw. modifizierten Dateien gelöscht. Nach einem PC-Restart ist mir dann aufgefallen, dass im Windows Explorer die Kopfzeile (Titel des Ordners, Vor- und Zurück-Buttons, Adresszeile) fehlt (siehe Anhang).
Nach ein paar Minuten ist diese in einem neuen Explorer-Fenster (sowie in allen weiteren neu geöffneten) dann wieder aufgetaucht und bislang nicht verschwunden. Dieses erstmalige nicht-Auftauchen der Buttons und Leisten ist aber bisher nie passiert, kann es deswegen sein, dass irgendeine System-Datei überschrieben wurde? Welche könnte damit zusammenhängen?

Ich habe eine weitere Bitte, falls es unter euch Leute gibt, die sowas analysieren können. Es wäre echt super zu wissen, was dieser Virus genau gemacht hat, damit ich weiß, ob ich das OS lieber ganz neu aufsetze. Deswegen hier der Link zu der Datei (nicht ausführen, da schädlich):

Link entfernt

// Oh danke lieber Mod, dass der Link entfernt wurde. Eine in meinen Augen sehr sinnlose Aktion, da ich ausdrücklich darauf hingewiesen habe, dass die Datei nicht ausgeführt werden darf. Falls sich, wie gesagt, in Sachen Analyse jemand damit auskennt, bitte schreibt mich an, damit ich euch den Link geben kann. Hinweise auf Programme, welche Skripte in einer .scr-Datei öffnen und darstellen können, wären auch sehr hilfreich - falls es solche gibt.


Vielen Dank schon mal im Voraus.

 

[Heen]

Wie kann ich es nur wagen, den Beitrag nicht zu deinen Bedingungen freizugeben.

Vielleicht, weil der Hinweis "nicht ausführen, da schädlich" auch in Millionen Hirnen von Screensaver-Nutzern eingebrannt sein sollte, und wird trotzdem diesen Thread hier haben?

 

[Picardon]

Wie kann ich es nur wagen, den Beitrag nicht zu deinen Bedingungen freizugeben.

Vielleicht, weil der Hinweis "nicht ausführen, da schädlich" auch in Millionen Hirnen von Screensaver-Nutzern eingebrannt sein sollte, und wird trotzdem diesen Thread hier haben?

Das ist ein sehr gewagter Vergleich. Mir wurde dieser Hinweis nicht vorher in Bold-Schrift vor die Augen gesetzt, sonst hätte ich die Datei logischerweise nicht geöffnet.

 

[Heen]

Ich gehe davon aus, dass die jahrzehntealte Verwendung von SCR-Dateien als Virenschleudern zum Internet-Allgemeinwissen gehört, du davon, das Nutzer fette Texte lesen, bevor sie Links klicken.
Wir werden wohl beide enttäuscht.

Und jetzt lass uns abwarten, ob dir jemand bei der Restaurierung deines Explorers helfen kann.

Mein Standard-Tipp wäre Malwarebytes und das bereits installierte Antiviren-Tool auszuführen, um eine grobe Übersicht zu haben, ob sich eine OS-Rettung noch lohnt.

 

[ToniMacaroni]

Ich habe das jetzt nicht alles genau verstanden, aber ich denke es reicht, um folgende Empfehlung zu geben:

- System muss neu aufgesetzt werden.

- Steam Passwort muss schleunigst geändert werden.

 

[moshimoshi]

schick mir per pn die datei, werde die mal debuggen.
Eine Neuinstallation ist in der tat nicht immer sinnvoll.

 

[Kronos60]

Ich würde eine Neuinstallation empfehlen.

 

[moshimoshi]

Das ist ein infostealer, der versucht durch eine modifizierte Datei, ein anderes Programm zu imitieren.

Hierbei betrifft das Steam und deine Cookies in den Browsern, ist kein Artemis (Backdoor) sondern nur ein (infostealer, trojaner).
Die login daten die du im fake Steam Clienten eingegeben hast gehen an mehrere ips unter anderem an diese: 188.120.255.114

Es reicht einfach die datei zu löschen. Das Programm dringt nicht tiefer ins System ein und oder verändert andere Schlüssel.

Ändere sofort alle Passwörter und mit alle meine wirklich alle.
Denn wenn deine Firewall das programm nicht blockiert hat, dann ist die Wahrscheinlichkeit sehr groß, dass diese geleakt wurden und nicht mehr sicher sind.

 

[Picardon]

Das kann ja heiter werden bei X Webseiten mit Y versch. Passwörtern :/
Beruhigt bin ich aber trotzdem. Vielen Dank für deine Hilfe.

 

[moshimoshi]

Um nach dateien zu suchen die an an diesem Zeitpunkt der Infizierung erstellt wurden machst du folgendes:
Im Bild ist der Zeitpunk zu sehen.
Date modified/date created

28.05.2015 20:37 datiert

(Die steam.old, dabei handelt es sich um die originale steam datei)

öffne cmd (Mit Admin Rechten) und tippe das ein, einmal für die hiddenfiles unsichtbaren files und einmal für die normalen files, gehe nach C:/ und öffne die datei verstecktedateien und normaledateien.txt
dort siehst du alle dateien die zu diesem Zeitpunkt erstellt worden sind auf deinem System.
Diese inspizierst du und löscht sie wenn, sie den test auf virustotal.com mit negativ ausgewertet bekommen.

@dir c:\*.* /s /t:c | findstr "28/05/2015 20:37 PM">c:\normaledateien.TXT

@dir c:\*.* /s /a:h /t:c | findstr "28/05/2015 20:37 PM">c:\verstecktedateien.TXT

Oder du könntest auch mit einem Programm wie http://www.mythicsoft.com/filelocatorlite/screenshots
nach dem unmittelbaren Erstellungsdatum suchen.

Das kann ja heiter werden bei X Webseiten mit X versch. Passwörtern :/

Besser ist solange du noch zugriff darauf hast.
Und bei Steam kann es nützlich sein, die Emails von den Käufen zu archivieren, um nachweisen zu können das es sich hierbei um deinen Account handelt.