Hallo,

ich habe ein Computer mit Windows 7 - Ultimate als Betriebssystem.

Als AntiVirus läuft Avira 2012 und Windows Firewall.
Browsen tue ich mit Google Chrome oder Firefox.

Ich habe mir vor einpaar Tagen ein Virus, W32/patchload.a gefangen.
An und für sich nicht schädlich bis auf das es die Browser einträge auf ein davinci server umleitet, witzige dran wenn ich es im suchfeld eingebe dann werden die seiten aufgerufen.

Hab mein System im Abgesichtertenmodus gestartet und AntiVir suchen lassen, es waren 18dateie infiziert.
Antivir bietet leider nur, Quarantäne, Löschen, Ignorieren und ein 4. aber leider nicht reparieren!

System neu aufsetzen will ich nicht wirklich aber sonst muss ich es wohl!

Hab windows defender, HiJackthis log, SpyBot und Malwarebytes probiert, leider ohne Erfolg.


1.Frage wie bekomme ich diesen Virus weg
2.Frage die befallene dateien sind Programmdateien, solange Sie im Quarantäne sind kann ich die Programme nicht starten, wie retten?
3.Frage welches AntiVirus programm ist derzeit empfehlenswert?
4.Wenn ich mein System neu aufsetze kann ich es mit allen Programme als ISO auf ein Externe festplatte speichern und von dort aus wieder neu istallieren? Gibt es soeine möglichkeit um jedesmal nicht alles neu zu installieren..


MFG

Zitat:

Ich habe mir vor einpaar Tagen ein Virus, W32/patchload.a gefangen.

Unvollständige Angabe! Poste die Logs des Virenscanners.

Zitat:

Hab windows defender, HiJackthis log, SpyBot und Malwarebytes probiert, leider ohne Erfolg.

Auch davon alle Logs posten. V.a. alle von Malwarebytes - sind alle im Reiter Logdateien zu sehen.

ESET Online Scanner hat folgendes zusätzlich gefunden :

C:\Users\Arbeitszimmer\Downloads\office_2007_keychanger__temp_activation_stop.exe a variant of Win32/MediaGet application
C:\Users\Arbeitszimmer\Downloads\SoftonicDownloader_fuer_autocad.exe a variant of Win32/SoftonicDownloader.A application
C:\Windows\System32\drivers\afd.sys Win32/Sirefef.DM trojan
C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7600.16385_none_d7be98b5bfc0b4c1\afd.sys Win32/Sirefef.DM trojan
Operating memory a variant of Win32/Sirefef.CH trojan


HiJackThis Log
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:19:53, on 22.11.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\Arbeitszimmer\Downloads\HiJackThis204.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - hxxp://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GRA32A~1.DLL
O23 - Service: Avira Planer (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - Unknown owner - C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (file missing)
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - Unknown owner - C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (file missing)

--
End of file - 5328 bytes
         

--- --- ---


MalwareBytes und AntiVir logs poste ich in einpaar stunden

Zitat:

C:\Users\Arbeitszimmer\Downloads\office_2007_keychanger__temp_activation_stop.exe

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Zitat:

Zitat von cosinus

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

achso, das mit cracks weiss ich das Sie gefährlich sind und malware verbreiten..
ich denke bis morgen nachmittag hab ich es entfernt...aber du könntest mir einen tip bez. guter AntiVir Programm geben

Zitat:

Zitat von gsm_2012

achso, das mit cracks weiss ich das Sie gefährlich sind und malware verbreiten..

Und dennoch ist der Reiz zu groß oder warum erklärst du dir diesen Dreck auf dem Rechner?

Zitat:

ich denke bis morgen nachmittag hab ich es entfernt...

Dir ist klar, dass du das System plätten und komplett neu installieren musst?
Hilfe zur Bereinigung gibt es nicht mehr, wenn da Cracks/Keygens oder andere illegale Sachen gefunden werden

Zitat:

aber du könntest mir einen tip bez. guter AntiVir Programm geben

Kein Virenscanner schützt den Rechner vor dich. Also Finger weg von Cracks/Keygens.

Zitat:

Zitat von cosinus

Und dennoch ist der Reiz zu groß oder warum erklärst du dir diesen Dreck auf dem Rechner?
.

es gibt manche programme die eben nicht das wert sind, bin mittlerweile auf openoffice umgestigen, daher der crack war schon lange da aber hat ja nicht gestört, vor allem antivir hat es ja nicht gefunden!!

Zitat:

Zitat von cosinus

Dir ist klar, dass du das System plätten und komplett neu installieren musst?
Hilfe zur Bereinigung gibt es nicht mehr, wenn da Cracks/Keygens oder andere illegale Sachen gefunden werden
.

falls ein möglichkeit ohne zu formatieren gibt, dann wird es nicht nur auf dieser forum bekannt sein..daher mal zuerst tee trinken und abwaten...vor allem system läuft ja NOCH

Zitat:

Zitat von cosinus

Kein Virenscanner schützt den Rechner vor dich. Also Finger weg von Cracks/Keygens.

guter Tip
könnte ja wenn es nicht klappt die cracks löschen und nochmal um hilfe bitten, Spende inklusive

Zitat:

es gibt manche programme die eben nicht das wert sind, bin mittlerweile auf openoffice umgestigen

Doofe Ausrede. Wenn MS Office 2007 für dich das Geld nicht wert ist, dann nutz es auch nicht. Auch nicht gecrackt. Wenn du es brauchst musst du eben eine legale Version dazu kaufen. Wenn man Student ist bekommt man auch günstige Studentenversionen. Und nur um sich das Programm anzusehen reicht auch eine 60-Tage-Trial.

Zitat:

falls ein möglichkeit ohne zu formatieren gibt, dann wird es nicht nur auf dieser forum bekannt sein

Crosspostings sind so ziemlich das letzte und kein Forum sieht so etwas gerne. V.a. weil dir aus gutem Grund nur noch eine Neuinstallation "empfohlen" wird.

Zitat:

guter Tip

Joa, ich hätte mal mehr dazu posten sollen. Wie ist das hier =>

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:

Zitat von cosinus

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

danke für die tips, die kenne ich bereits..bis auf secunia psi und mvps hosts file...hab grad 2schädlinge entfernt mal schauen wie ich w32/patchload.a entfernen kann


witzig ist das die symptome mit umleitung auf firefox und google chrome zutrifft aber nicht auf IE8