Hallo Liebes Trojaner-Board Team,
ich habe ein fettes Problem, ich versuche es so genau wie möglich zu beschreiben:

Erstmal sei gesagt das ich keine Ahnung habe wo ich mir den eingefangen habe, ich bin ein vorsichtiger User und habe bis jetzt noch von keinem vergleichbarem Problem im Internet gelesen, und dieses nutze ich schon sehr lange ;-)

Ich weis ja nichtmal um welche Art von Virus es sich handelt, ich habe versucht einen aufmerksamkeitseregenden Titel zu wählen.

Malwarebytes meldet mir bei Programmen wie Tor oder Chrome das ein Programm versucht, eine Verbindung zu einem Server aufzubauen, das wird durch Malwarebytes verhindert, allerdings ist Malwarebytes nicht in der Lage diesen Virus zu beseitigen.

Ich habe mein System 4mal neuaufgsetzt, immer die Festplatte formatiert, sämtliche Datenträger die ich habe formatiert, mein Handy 4mal auf Werkeinstellungen gebracht und keines der gennanten Geräte miteinander Verbunden ohne Einzeltest, und der ist noch immer da, noch immer meldet mir Malwarebytes das der <wasauchimmer> versucht, seine Verbindung da zum Virus-Server aufzubauen.

Das Problem liegt denke ich an meinem Android-Handy, ich habe unter 2.3.4 auf "Telefon löschen" (inkl. SD Karte Löschen) geklickt, und trozdem befindet er sich noch auf meinem Androiden, ich bin mit den Nerven völlig am Ende, er hat mir Bitcoins im Wert von 100€ geraubt, ich weis einfach nichtmehr weiter ich hoffe ihr könnt mir helfen, es ist sogar die Hölle für mich, diesen Thread hier halbwegs informativ zu schreiben, der zerstört mein Leben! Ich habe schon 3 Freunde (eine weibliche Person an der ich sehr interessiert wahr) durch den Virus verloren und ich weis nicht ob der mich in den Suizid treiben will, aber ich denke das hat er sehr sehr bald geschafft!

Folgende Datenträger habe ich:

- USB-Stick
- Externe HD
- Android-Handy
- Interne HD

Ich weis nicht ob der Virus in meinen Email-Account geht und dann irgendwelche Anhänge herunterlädt um sich erneut zu aktivieren.
Ich habe einfach keine Ahnung was ich jetzt machen soll, ich habe auch starke Panik-Attacken wegen dieser Vorfälle aber das ist ein anderes Thema.

Aber rumheulen bringt jetzt auch nicht viel also versuch ich sachlich zu bleiben.

Wenn er Keylogging angeschalten hat, hat er sämtliche Daten von mir, die man nur irgendwie haben kann. (Facebook, Banking, ALLE email accs von mir, Whatsapp, alles alles alles)

Ich starte gerade eine VOLLSTÄNDIGE Suche mit Malwarebytes wie oben beschrieben und poste dann die Ergebnisse. Ich hoffe wirklich dass das einem von euch hilft, mir zu helfen, denn endlich loszwerden, in Zukunft werde ich halt noch viel vorsichtiger sein als ich jetzt schon ohnehin bin.

Ich garantiere euch wie ein Uhrwerk zu folgen IHR SAGT--> ICH MACHE! Egal was! Er hat mich um sehr wichtige Kontakte und um meine Ersparnisse gebracht, ich hoffe er hat mich nicht als Vicsock verwendet sonst kann ich mich gleich erschießen.

die einzigen logs die ich habe:

Code: Alles auswählenAufklappen

ATTFilter

2012/08/11 00:07:05 +0200	HOME-PC	HOME	IP-BLOCK	213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)
2012/08/11 00:07:05 +0200	HOME-PC	HOME	IP-BLOCK	89.248.172.226 (Type: outgoing, Port: 50334, Process: tor.exe)
         

Code: Alles auswählenAufklappen

ATTFilter

2012/08/10 23:45:56 +0200	HOME-PC	HOME	MESSAGE	Starting protection
2012/08/10 23:46:01 +0200	HOME-PC	HOME	MESSAGE	Protection started successfully
2012/08/10 23:46:04 +0200	HOME-PC	HOME	MESSAGE	Starting IP protection
2012/08/10 23:46:08 +0200	HOME-PC	HOME	MESSAGE	IP Protection started successfully
2012/08/10 23:46:49 +0200	HOME-PC	HOME	MESSAGE	Starting database refresh
2012/08/10 23:46:49 +0200	HOME-PC	HOME	MESSAGE	Stopping IP protection
2012/08/10 23:50:04 +0200	HOME-PC	HOME	MESSAGE	Executing scheduled update:  Daily
2012/08/10 23:50:06 +0200	HOME-PC	HOME	MESSAGE	Database already up-to-date
2012/08/10 23:51:13 +0200	HOME-PC	HOME	MESSAGE	IP Protection stopped
2012/08/10 23:51:19 +0200	HOME-PC	HOME	MESSAGE	Database refreshed successfully
2012/08/10 23:51:19 +0200	HOME-PC	HOME	MESSAGE	Starting IP protection
2012/08/10 23:51:25 +0200	HOME-PC	HOME	MESSAGE	IP Protection started successfully
         

Wenn ihr noch irgendwelche Infos braucht bitte darum!

Code: Alles auswählenAufklappen

ATTFilter

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)
         

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

Zitat:

Zitat von cosinus

Code: Alles auswählenAufklappen

ATTFilter

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)
         

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

so ein blödsinn! er stoppt ja die verbindung, wie kann sie dann rausgehen?

selbiges passiert bei chrome / skype auch. komisch!
was sagste dazu?

ja, malwarebytes blockt die verbindung zum thor proxy, sieht man an der ip, deinstalire das programm und es sollte ruhe sein.

Zitat:

Zitat von cosinus

Code: Alles auswählenAufklappen

ATTFilter

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)
         

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

so ein blödsinn! er stoppt ja die verbindung, wie kann sie dann rausgehen?

selbiges passiert bei chrome / skype auch. komisch!
was sagste dazu?

edit:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 14. August 2012  20:55

Es wird nach 4093269 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HOME-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38
LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31
AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24
AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37
VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 21:46:10
VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 21:46:11
VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 21:46:12
VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 21:46:13
VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 21:46:13
VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 21:46:14
VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 21:46:32
VBASE021.VDF   : 7.11.39.146     2048 Bytes  11.08.2012 21:46:32
VBASE022.VDF   : 7.11.39.147     2048 Bytes  11.08.2012 21:46:32
VBASE023.VDF   : 7.11.39.148     2048 Bytes  11.08.2012 21:46:32
VBASE024.VDF   : 7.11.39.149     2048 Bytes  11.08.2012 21:46:32
VBASE025.VDF   : 7.11.39.150     2048 Bytes  11.08.2012 21:46:32
VBASE026.VDF   : 7.11.39.151     2048 Bytes  11.08.2012 21:46:32
VBASE027.VDF   : 7.11.39.152     2048 Bytes  11.08.2012 21:46:32
VBASE028.VDF   : 7.11.39.153     2048 Bytes  11.08.2012 21:46:32
VBASE029.VDF   : 7.11.39.154     2048 Bytes  11.08.2012 21:46:33
VBASE030.VDF   : 7.11.39.155     2048 Bytes  11.08.2012 21:46:33
VBASE031.VDF   : 7.11.39.156     2048 Bytes  11.08.2012 21:46:33
Engineversion  : 8.2.10.132
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.08.2012 21:46:26
AESCRIPT.DLL   : 8.1.4.42      459129 Bytes  10.08.2012 21:46:26
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.24      811381 Bytes  10.08.2012 21:46:25
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  10.08.2012 21:46:24
AEHEUR.DLL     : 8.1.4.86     5165429 Bytes  10.08.2012 21:46:23
AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17
AEGEN.DLL      : 8.1.5.34      434548 Bytes  10.08.2012 21:46:17
AEEXP.DLL      : 8.1.0.74       86387 Bytes  10.08.2012 21:46:26
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.08.2012 21:46:16
AECORE.DLL     : 8.1.27.4      201078 Bytes  10.08.2012 21:46:16
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25
AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23
AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23
AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24
NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50294657\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 14. August 2012  20:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDRootAlyzer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWelcome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pidgin-portable.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PidginPortable.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tbb-firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'foobar2000.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWSCSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDUpdSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDFSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737'
C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' verschoben!


Ende des Suchlaufs: Dienstag, 14. August 2012  20:56
Benötigte Zeit: 01:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     38 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     37 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

soviel zum thema ich hab kein virus :P

Zitat:

soviel zum thema ich hab kein virus :P

Und was bitte ist an tor.exe ein Virus, wenn es die legitime Datei von TOR ist

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737'
C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' versch
         

Das sieht mir eher nach einem Fehlalarm aus
Merke: Die Ergebnisse eines Virenscanners sind mit Vorsicht zu genießen, nur weil der Scanner kreischt ist das noch lange kein Grund zur Panik - man soltle auch mal offensichtlichs Fehlalarme ertsmal ausschließen, anstatt den Virenscanner als Sprachrohr Gottes zu betrachten

wenn ich mich noch mal kurz einmischen darf,
rechtsklick avira schirm, deaktivieren.
dann avira, verwaltung, quarantäne.

dann wähle den fund, wiederherstellen in, desktop
Trojaner-Board Upload Channel
dann mal die datei da hochladen, dann können wir sie uns mal angucken
danach avira, verwaltung, quarantäne, dann datei wieder hinzufügen.

Markus du darfst dich immer einmischen

zu freundlich.
aber da bisher kein upload angekommen ist, kann ich bisher noch nicht 100 %ig sicher sagen obs nen fp ist oder nicht