Neuerdings jabe ich mir eine Spiel runterladen wollen, dass mir eine Kollege gezeigt hatte. Dummerweise stieß ich dabei auf diesen bösartigen Obfuscator.xz

Microsoft Security entdeckte ihn in genau dem Ordner denn ich mir heruntergeladen habe. Ich hatte (glaube ich) Glück dass der Virus VOR meiner Installation gefunden wurde und so konnte ich diese abbrechen ohne dass sie jemals los ging.

Mit MSE startete ich einen Schnellscan und sofort wurden 2 Programme entdeckt eine sog. "Cracker" und eben der Obfuscator.xz im Ordner des Spieles.

Ich ordnete MSE an diese beiden Programme unter Quarantäne zu stellen. Danach machte ich mich (mit wenig Erfolg) im WWW auf die Suche nach Infos über diesen Virus. Ich fand kaum was womit ich irgendetwas anfangen könnte.

Bis mir einfiel dass es ja noch TROJANER BOARD gibt, diese Seite hatte mich ja schon einmal gerettet.

Ich durchsuchte die Seite lud mir Antimaleware runter startete es und bevor es überhaupt anfing blockierte MSE plötzlich und reagierte nicht mehr auf Befehle. ich musste es mit dem TaskManager ausschalten und als AMW auch noch die Dateien fand und ich dort versuchte es unter Quarantäne zu stellen. Er riet mir ich solle den PC neustarten. Ich tat es nicht weil ich auf einer WWW Seite gelesen hab dass es nach dem Neustart nur noch schlimmer wird stimmt das??

Kam die Meldung irgendeine Seite (es wurde mir eine IP angezeigt) wollte gerade aus dem WWW auf meinen PC zugreifen und diese Handlung sei gestoppt worden.

In größter Panik löschte und entfernte ich natürlich sofort die TORRENT Datei samt aller Ordner und gab MWB nochmals einen Scan durch. Jetzt wurde nichts angezeigt. Jedoch wird seitdem mein MSE nicht mehr gestartet bzw. kann ich es nicht mehr starten. Woran liegt das ???

Und ich würde noch fragen ob nun mein Pc sicher ist und ich ihn neustarten soll. Bis dahin bleibt er entweder ON oder im SB Modus


Danke im Voraus

Downloade dir bitte CKScanner Wichtig: Speichere die Datei am Desktop.

• Doppelklick auf die CKScanner.exe und klicke auf Search For Files.
• Danach klick auf Save List To File.
• Es wird eine Box aufpoppen was dir mitteilt das die Datei gespeichert wurde (file saved)
• Öffne die CKFiles.txt auf deinem Desktop und poste den Inhalt hier.

Ich habe den CKScanner gestartet

Mein Rechner summte komischerweise ziemlich laut. Und es wurde gemeldet dass Firewall, Benutzerkontensteuerung und MSE "abgestürzt" sind... ???

CKScanner gab "keine Rückmeldung" und es wurde wieder gemeldet dass eine IP (leider konnte ich mir die Zahlen nicht merken) Zugriff auf meine Daten haben wollte. (Wurde automatisch abgelehnt)

Ich danke Ihnen sehr für eine soo schnelle Antwort und für jede weitere Hilfe.


Ich hatte AntiMalewareBytes gestartet und schon meldete sich jetzt auch meine Firewall mit der Meldung (bösartiger Zugriff auf C\...)

AMWB meinte nach etwa 7 Minuten dass mein Rechner nun keine infizierten Daten mehr hat und ich den Rechner neustarten soll. Bin mir allerdings nicht sicher ob das eine gute Idee ist..???

CKS meint immernoch auch nach eine 4.-5. Start es sei abgestürzt bzw keine Rückmeldung und dann schließt sich dieses Fenster automatisch

Soll ich die File vm AMB Scan hier posten ist das vl hilfreich ???

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.


Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.


Schritt 2: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.




Schritt 3: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Schritt 4: OTL



Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Füge auch unbedingt die Logdateien von Malwarebytes´ Antimalware bei!

Danke herzlichsten Dank dir Marius für die Unterstützung.!!!

Ich werde alles nach der Reihe tun und die jeweiligen Logs mit dem "Code einfügen" Button hier hinzufügen sobald diese fertig sind.




EDIT: Sollte ich den PC nach dem Scan nun neustarten oder nicht also nach dem FullScan von Antimaleware und MSE (Microsoft Security Essentials) dazu werde ich nähmlich alle paar Sekunden aufgefordert auch meine Windows Updater meldet ich solle "nach Fertigstellung des Updates bitte Ihren PC neustarten um...." ???

Ist es riskant das zu tun bevor ich die einzelnen Schritte anfange.... ??

HIER der Log von AMWS

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.02.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Elvedin :: ELVEDIN-PC [Administrator]

Schutz: Aktiviert

03.01.2013 09:57:20
mbam-log-2013-01-03 (09-57-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230212
Laufzeit: 16 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

"Von Security Essentials wurde folgender Fehler erkannt: Fehlercode: 0x800700df. Die Dateigröße überschreitet die maximal zulässige Größe und kann nicht gespeichert werden."

Es ziegt mir 2 "Cracks" (kA was das ist) an und eben diesen Obfuscator im Quarantänebereich...

Es werden jede Menge "Cracks angezeigt (tut mir leid nutze den PC nur für Word und Co. kenne mich bei solchen Sachen leider nicht aus)

Es werden auch irgendwelche Games angezeigt und zu jeder ist einer dieser "Cracks" zu sehen.

Nun bin ich echt besorgt was das alles soll ??

Starte den PC neu!

Malwarebytes´ Antimalware legt bei jedem Scan eine Logdatei an. Öffne das Programm, klicke auf den Reiter Logfiles und exportiere alle dort gespeicherten logdateien. Zippe sie und hänge das Archiv mit an deine Antwort an!

Ok werde Pc neustarten auf gut Glück...

Datei wurde angehängt...



Nachdem alle Updates abgeschlossen waren und auch die Scanner fertig waren (keine bösartige Software entdeckt) wollte ich den PC neustarten allerdings wird nun immer wieder kurz ein Popup Fenster unten rechts geöffnet und zeigt an dass es einen IP-Block gab und dieser von .... blockiert wurde... ??

Die Logs versuche ich gerade zu bekommen allerdings nervt mich dabei das Popup und ich komme nicht durch..... :/


ich habe plötzlich auf dem yTorrent Programm jede menge Dateien (größtenteils "cracked" keine Ahnung was das soll bzw. wie die da hinkommen wie gesagt nutze PC nur zur Recherche und Buchhaltung) es wird mir angezeigt dass diese Dateien versucht haben auf meinen PC installiert zu werden und doch geblockt wurden von der Windows Firewall...

Das ist dein uTorrent-Programm, das sich mit dem Internet verbinden will...

Die "cracked"-Dateien, die dir dein "Freund" ins Torrent-Programm gestellt hat, verweisen auf den Versuch, illegale (gecrackte) software herunterzuladen. Sollte sich dies im Verlaufe unserer Bereinigung als zutreffend erweisen, werden wir den Support ohne weiteren Kommentar einstellen.

Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing-Programme verwendest.

In deinem Fall uTorrent.

Diese Programme erlauben es dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und dies ist auch ein Grund, warum sich Malware so schnell verbreitet.

Es ist also möglich, dass du Dir eine infizierte Datei herunterlädst. Du kannst niemals wissen, woher diese stammt. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.


Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media- und Entertainment-Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service, zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.

Bitte gehe zu Start --> Systemsteuerung --> Software und deinstalliere die oben erwähnte Software.

Bitte gib Bescheid wenn Du eines der gelisteten Programme nicht finden kannst.[/color]

ja ich benutzte ytorrent als ich mir eine exe Datei vor ungefeähr 4 Monaten herunterladen wollte und mein Kollege mir zu yTorrent riet hatte leider keine Ahnung was das eig. ist und hab seine Anweisungen befolgt.

Und gestern war es eig. ein normaler Download

Und als die zur Hälfte fertig war und dann zu stocken begann (immer wieder keine Rückmeldung) bekam ich die Nachricht von ihm ich sollte auf eine best. Seite gehen und mir dort das Programm holen weil es schneller geht also tat ich es auch und dann stieß ich wohl auf diesen Hacker..

Nun habe ich cirka 10 Programme die allesamt anscheinend "gecracked" Spiele sind und leider weiß ich überhaupt nicht woher diese kommen geschweige denn was sie auf meinem Pc zu suchen haben (Alle Games die ich mir herunterlade sind von Seiten wie "Origin oder "Steam" o.Ä. allerdings habe ich selten Zeit für sowas also werden diese Programme und Games schnell deinstalliert. (PS: Ich weiß dass es blöd und etwas unglaubwürdig klingt aber, wieso sollte ich mich der Gefahr hingeben eben diese "Fake" Games herunterzuladen um mir dann noch diese blöden Schadsoftware zu holen...

Ein derartig dummes Problem hatte ich bereits einmal und nie mehr.....)



DANKE DIR TROTZ ALLEDEM NOCHMALS FÜR DEN WIRKLICH BEMERKENSWERT TOLLEN SUPPORT .... (auf keinem der anderen Foren bekam ich je eine schnellere Antwort als hier nicht mal "Chip .de" )

DANKE DIR....!!

EDIT: Dateien die schädlich sind sind nun alle unter Quarantäne, PC wurde immer noch nicht neu gestartet da leider sich der WinUpdater meldet und immer wieder Sicherheitsupdates und Definitionsupdates installiert

Firewall und Defender arbeiten ENDLICH wieder ganz ohne Probleme und jegliche Cracks und ytorrent und diese komischen blöden "Cracked Razor1901 Games werden nun sofort entfernt...

Ich hoffe nach dem Update, dem Entfernen und dem Neustart, dass mein PC wieder normal funktioniert ??? :/

Um mal etwas klüger zu werden Was hat es mit dem Cracked Razor1901 spielen auf sich kommen die echt so einfach rein ??? :/

Dabei handelt es sich definitiv um illegal gecrackete Software und damit ist der Support beendet.




Alleine der Besuch auf Seiten, welche diese Dateien zum Download anbieten, beinhaltet ein hohes Risiko sich zu infizieren.

Wenn Du den Crack startest, startest du eine ausführbare Datei aus einer sehr dubiosen Quelle. Im Quellcode der Datei kann alles mögliche stehen. ( z.B downloaden und ausführen von Malwaredateien )
Dies ist einer der Hauptursachen für Infektionen.

Ausserdem sind Cracks, Keygens, usw. illegal und das ist genauso Diebstahl wie in einem Laden.
Darum haben wir uns darauf geeinigt:

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Deshalb beschränkt sich unsere Hilfe für dich auf eine Anleitung zur Neuinstallation und Absicherung des Systems

WOw :/ :O .... hmm... was kann ich aber dann dagegegen tun also gegen eben diese Art von Crackszugriffen also dass es nie mehr passiert dass illegale Sachen auf meinen PC landen, (um es mal klar zu stellen die Exe datei die ich mir über ytorrent heruntergeladen habe ist AUF KEINEN FALL eine Cracked Sache da ich den Typen kenne der diese ab und an uploadet das schon mal vorweg... und 2. Wie konnte ich bemerken dass darauf ein Virus ist wenn MSE und Firewall und ahnliche mir keine Meldung gaben ehe nicht der wirkliche download begann und als diese dann den Virus meldeten habe ich so oder so einen Abbruch hervorgerufen in dem ich die internetverb. kappte und durch TaskManager den Download abbrach...

klar ich soll nicht mehr Filesharing Programme und Seite verwenden aber mir ist es ja sogar mal passiert dass virus auftauchten beim herunterladen von Sachen auf benutzerseiten wie mydrve.ch und ähnlichem ???

Ich finde es ja schön und echt super dass ihr bei Leuten die diese meiner Meinung nach dummen "Cracked was auch immer" Sachen herunterladen, den Support einstellt aber mal ganz ehrlich... dass ich davon "wenig bis kaum" Ahnung hab und zu 100% sicher bin dass ich keines der "cracked" Dateien persönlich und auf eigenen Wunsch heruntergleaden hab und dass diese Dateien aufgefunden, unter Quarantäne gestellt und Win7 nun auf weitere Instruktionen wartet und jetzt auf Grund dessen dass ich eben einen Hackerangriff der übelsten Sorte hatte ein Support eingestellt wird.... hmmm.. etwas fragwürdig....