Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.
Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.
Bitte beachte folgende Hinweise:
Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.
Zitat:
Zitat von Deathkid535
... und möchte es noch sicherehitshalber überprüfen lassen
Das war eine gute Entscheidung, da sich auf deinem Rechner noch Malware befindet.
Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.
Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden(lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.
Schritt # 2: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall Advanced SystemCare 3.
Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.
Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.
Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen. Zerstörst Du die Registry, zerstörst Du Windows.
Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.
Schritt # 3: Peer to Peer oder Filesharing Programme
Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing Programme verwendest.
In deinem Fall µTorrent.
Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.
Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.
Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu
Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.
Schritt # 4: Deinstallation von Programmen
Folge folgendem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
Suche in der Liste Software mit dem folgenden Namen
Ask Toolbar
Conduit Engine
DVDVideoSoftTB Toolbar
softonic-de3 Toolbar
uTorrentBar_DE Toolbar
VirusKeeper 2011 Pro Probeversion
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
Schritt # 5: Add-ons in Firefox entfernen
Starte Firefox
Klicke auf Firefox -> Add-ons -> Erweiterungen
Entferne die folgenden Add-ons (sofern sie vorhanden sind):
uTorrentBar_DE Community Toolbar
Conduit Engine
Zum Abschluss musst du Firefox schließen und neu starten, damit die Entfernung abgeschlossen werden kann.
Kontrolliere, ob die genannten Erweiterungen auch entfernt wurden.
Schließe Firefox wieder.
Schritt # 6: Stoppen von Treibern mit Defogger
Starte das Tool mit Doppelklick. Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).
Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.
Schritt # 7: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
Schritt # 8: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Starte bitte die OTL.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
Hallo, danke für die (vor allem schnelle!) Antwort.
Ich habe die Punkte einzeln nach Anleitung durchgemacht:
Advanced SystemCare und uTorrent habe ich Deinstalliert
Ich habe alles Deinstalliert, ausser softonic-de3 Toolbar und uTorrentBar_DE Toolbar, da die Datei INSTALL.LOG nicht geöffnet werden konnte
Das Lofgile von Defogger:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:18 on 27/06/2011 (Administrator)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
SPTD -> Already disabled
-=E.O.F=-
Logfile von aswMBR:
Code:
ATTFilter
aswMBR version 0.9.7.675 Copyright(c) 2011 AVAST Software
Run date: 2011-06-27 19:20:04
-----------------------------
19:20:04.173 OS Version: Windows 6.1.7600
19:20:04.173 Number of processors: 2 586 0x602
19:20:04.176 ComputerName: DENNIS-PC UserName:
19:20:07.187 Initialize success
19:23:42.651 AVAST engine defs: 11062700
19:24:42.722 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000057
19:24:42.730 Disk 0 Vendor: ST925031 0010 Size: 238475MB BusType: 11
19:24:44.831 Disk 0 MBR read successfully
19:24:44.838 Disk 0 MBR scan
19:24:44.847 Disk 0 Windows 7 default MBR code
19:24:46.867 Disk 0 scanning sectors +488397168
19:24:46.888 Disk 0 scanning C:\Windows\system32\drivers
19:25:02.493 Service scanning
19:25:03.416 Disk 0 trace - called modules:
19:25:03.521 ntkrnlpa.exe CLASSPNP.SYS disk.sys amdxata.sys ACPI.sys halmacpi.dll storport.sys amdsata.sys
19:25:03.532 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85998460]
19:25:03.546 3 CLASSPNP.SYS[883ab59e] -> nt!IofCallDriver -> [0x85969c70]
19:25:03.561 5 amdxata.sys[8817a7b6] -> nt!IofCallDriver -> [0x859691e0]
19:25:03.572 7 ACPI.sys[833a53b2] -> nt!IofCallDriver -> \Device\00000057[0x85965030]
19:25:05.098 AVAST engine scan C:\Windows
19:57:47.952 Disk 0 MBR has been saved successfully to "C:\Users\Administrator\Desktop\MBR.dat"
19:57:47.954 The log file has been saved successfully to "C:\Users\Administrator\Desktop\aswMBR.txt"
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread
Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Hallo,
Ich habe gerade eine Meldung von Firefox bekommen, dass etwas versuchen will, es zu einem unsicheren Update zu zwingen. Ist das normal?(wohl eher nicht )
MFG,
Deathkid
Geändert von Deathkid535 (06.07.2011 um 15:24 Uhr)
Hallo zum 3ten mal in Folge ,
also nach einiger Überlegung denke ich, es wäre einfacher den Computer neu aufzusetzen oder? Nur leider habe ich keine Win7 CD.
Meine Frage: Gibts die Gratis oder muss man die kaufen?
Also ich bin noch Minderjährig und daher wäre kaufen die unangenehmere Alternative
Greetz,
Deathkid
Ich habe gerade eine Meldung von Firefox bekommen, dass etwas versuchen will, es zu einem unsicheren Update zu zwingen. Ist das normal?(wohl eher nicht )
Nein, normal ist das nicht.
Du hast nicht zufällig einen Screenshot davon gemacht, oder?
Was hast du nach der Meldung gemacht bzw. was ist dann passiert? Gibt andere Auffälligkeiten auf deinem Rechner?
Du hast weiterhin das Problem, dass du im normalen Modus mit dem IE und FF umgeleitet wirst, im abgesicherten Modus jedoch nicht. Verstehe ich das richtig?
Besuche bitte die Seite utrace.de und berichte, welche IP-Adresse dir dort angezeigt wird. Passt der dort gezeigte Standort auch zu deinem momentanen Aufenthaltsort?
Als nächtes deinstallieren wir zuerst ComboFix und versuchen es noch einmal. Sollte ComboFix wieder nicht weiter laufen, so warte ca. 10-15 Minuten und starte - während CF noch aktiv ist - den Taskmanager (Strg + Alt + Entf) und berichte, welcher Prozess dort hängt bzw. eine hohe Auslastung aufweist.
Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporärAntivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.
Nun die eben deaktivierten Programme wieder aktivieren.
Schritt # 2: ComboFix ausführen
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:
Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.
Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.
Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
Du hast nicht zufällig einen Screenshot davon gemacht, oder?
Leider nein.
Zitat:
Was hast du nach der Meldung gemacht bzw. was ist dann passiert? Gibt andere Auffälligkeiten auf deinem Rechner?
Ich habe auf X gedrückt, da es sonst nur zulassen gab, was ich nicht wollte. Danach ist nichts auffälliges passiert. Hm, auffäligkeiten fallen mir keine wirklich auf.
Zitat:
Du hast weiterhin das Problem, dass du im normalen Modus mit dem IE und FF umgeleitet wirst, im abgesicherten Modus jedoch nicht. Verstehe ich das richtig?
Jo
Zitat:
berichte, welcher Prozess dort hängt bzw. eine hohe Auslastung aufweist.
Ein gewisser "Leerlaufprozess" benötigt während CF läuft zwischen 80 und 90% meines CPU speichers.
Zitat:
Besuche bitte die Seite utrace.de und berichte, welche IP-Adresse dir dort angezeigt wird. Passt der dort gezeigte Standort auch zu deinem momentanen Aufenthaltsort?
Ja, da stimmt alles
Geändert von Deathkid535 (06.07.2011 um 17:34 Uhr)
Hallo M-K-D-B,
Ich habe ComboFix nochmal gestartet, dasselbe ausprobiert, aber der Bildschirm hängt einfach, ich konnte nichts bewegen, und ich musste Manuell starten..
MFG,
Deathkid
Nein, nicht unbedingt. Aber ich versuche, es dir zu erklären:
Laut dem ausgeführten Fix mit der Batch Datei sollte der Dienst des Windows-Sicherheitscenters wieder laufen:
Zitat:
[SC] ChangeServiceConfig ERFOLG
Eine Überprüfung ergab allerdings, dass der Wert nicht wie geünscht geändert wurde. Daher versuchen wir folgendes:
Schritt # 1: Fix mit OTL
Starte bitte die OTL.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread
Schritt # 2: Batch Datei ausführen
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
cd \
set log=%userprofile%\Desktop\ergebnis.txt
if exist %log% del %log%
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /s >> "%userprofile%\Desktop\ergebnis.txt"
notepad "%userprofile%\Desktop\ergebnis.txt"
del %0
Wähle Datei --> Speichern unter
Dateiname: suche.bat
Dateityp: Wähle Alle Dateien (*.*)
Speichere die Datei auf deinem Desktop.
Es sollte nun ungefähr so aussehen
Starte die suche.bat. Vista und Win7 User: Mit Rechtsklick "als Administrator starten"
Es öffnet sich die Textdatei ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.
Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
Hallo M-K-D-B,
Bin wieder zurück aus dem Urlaub ,
So, jetzt gehts aber wieder an die Arbeit:
OTL-FixLog:
Code:
ATTFilter
========== OTL ==========
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\\"Start"|dword:00000002 /E : value set successfully!
========== COMMANDS ==========
OTL by OldTimer - Version 3.2.24.1 log created on 07152011_224007
Zum Thema MS removal Tool vollständig entfernen - Wie der Titel schon sagt, hatte ich kürzlich dieses Problem, und möchte es noch sicherehitshalber überprüfen lassen - MS removal Tool vollständig entfernen...
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:06 Uhr.