Hey ihr Lieben.

Mitlerweile bin ich Ratlos...

Am Samstag um ca 16 Uhr surfte ich ein wenig auf Tumblr umher.
Als plötzlich eine Meldung kam.

Windows-Defender Warnung
"Schädliche oder potenziell unerwünschte Software überprüfen."
"Name: PWS:Win32/Fareit.gen!H"
"Warnstufe: Schwerwiegend"

Dann kam eines nach dem Anderen:

Avast Meldung:
Malware Blockiert
Objekt: bieqkpscu.exe
Infektion: Win32:Malware-gen
Aktion: In Container verschoben
Prozess: nMNtfaARwl97e30p5ev.exe

Nächste Avast Meldung:
Objekt: honey.punked.us/sex/image.php
Infektion: URL:Mal
Aktion: Blockiert
Prozess: C:\windows\system32\wuauclt.exe

-

Ich bin kein Neuling was Computer angeht und sorgte umgehend dafür das Malwarebytes & Avast einen Gesamtcheck machten.

Malwarebytes ermittelte 9 Infizierte Objekte. Diese löchte er auch umgehend.
Nach einem notwendigen Neustart, eine neue Meldung:

Avast Meldung
Malware Blockiert
Objekt: uchwcrmxwvqotpocurb.exe
Infektion: Win32:Malware-gen
Aktion: in Container verschoben
Prozess: C:\windows\Explorer.EXE

-

Klingt alles gut und schön, alles geblockt, weggesperrt.
Problem ? Ja !

Sobald ich nun im Internet unterwegs bin, egal auf welchem Brower (Firefox, Opera etc) kommt erneut diese Meldung:

Objekt: honey.punked.us/sex/image.php
Infektion: URL:Mal
Aktion: Blockiert
Prozess: C:\windows\system32\wuauclt.exe

Und nun bin ich ratlos.
Nachdem Avast und Malwarebytes nicht das entsprechende Objekt gefunden haben und auch der CCleaner nichts weiter entfernen konnte, bitte ich einfach nur noch um Rat.
Vorallem steht über all diese .exe Datein so gut wie nichts im Internet.

Hat jemand einen Rat für mich?

Als nächstes wollte ich Microsoft Secruity Scanner durchlaufen lassen.

Schnelle Antworten würden mich sehr erfreuen,
langsam mache ich mir Sorgen.

Liebe Grüße,
Kappu

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld.

Hallo Kappu und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.


Bevor wir loslegen - Hinweise zum Ablauf:

• Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
  • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
  • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
  • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
  • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

• Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
  • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
  • .. installiere oder deinstalliere während der Bereinigung keine Software.
  • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

• Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
  • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
  • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Zitat:

Malwarebytes ermittelte 9 Infizierte Objekte. Diese löchte er auch umgehend.

Das Log dieses Scans würde ich gerne sehen. Siehe hier: http://www.trojaner-board.de/125889-...tml#post941520
Wichtig: Führe keinen neuen Scan durch, sondern poste nur das bereits bestehende Log.



Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Bitte:

• Alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren.
• Alle bestehenden Verbindungen zu einem Netzwerk/Internet trennen (WLAN nicht vergessen).
• Nichts am Rechner arbeiten.
• Nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen:

• Lade dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken). Speichere das Programm auf den Desktop.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf "No".
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Allen Festplatten ausser der Systemplatte (normalerweise ist nur C:\ angehakt)
  • Show all

• Starte den Scan mit "Scan". Mache nichts am Computer, während der Scan läuft.
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Downloade dir bitte DDS (von sUBs) auf deinen Desktop.

• Starte bitte DDS mit einem Doppelklick.
  Ändere keine Einstellungen ohne Anweisung
• Drücke auf Start.
• Der Desktop wird verschwinden, das ist normal.
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt
• Bitte poste beide Logfiles in deiner nächsten Antwort.

Bitte poste in deiner nächsten Antwort:

• bestehendes Log von MBAM
• Log von Gmer
• Logs von DDS

Hey ! Danke vorerst für diese super umfrangreichende und schnelle Antwort.
Habe mir erstmal alle Anweisungen ausgedruckt.

Microsoft Security Manager konnte die Fareit-gen Datei beseitigen.
Jedoch bin ich grade etwas geschockt.

Ca alle 10 Minuten verschwinden ungelogem um die ca 1GB von meiner Platte.
Ich Installiere nichts, habe vor 3 Tagen Defragmentiert, lasse täglich CCleaner durch laufen, habe meine Datenträger bereinigt. Und ?
Immer noch. Es verschwindet, einfach so.

Eigentlich wollte ich deine Anweisungen am Wochenende nachgehen,
da ich in der Woche einfach keine Zeit dazu habe.

Jedoch mache ich mir grade immer mehr sorgen ...

Belegter Speicher: 249GB
Freier Speicher: 37,7GB

Vor 5Minuten waren es noch 38,3GB
vor 10Minuten war es 39,4GB

Avast meldetete mir, das "addblocke.exe" eine sich Verbreitene Datei wäre, aber Avast nicht genug Informationen hat, es als Malware o.ä zu sehen.
Ich versuchte es zu löschen, ging nicht.
Danach versuchte ich es aus dem Taskmanager zu entfernen, ging nicht ...

--- Hier der Malwarebytes Bericht;;

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4503

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

06.01.2013 12:02:04
mbam-log-2013-01-06 (12-02-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 612107
Laufzeit: 10 Stunde(n), 18 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 9
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\clickpotatoliteax.info (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clickpotatoliteax.info.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clickpotatoliteax.userprofiles (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clickpotatoliteax.userprofiles.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\menubuttonie.buttonie (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\menubuttonie.buttonie.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update server (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\clickpotatolite@clickpotatolite.com (Adware.ClickPotato) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Quarantined and deleted successfully.
C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin\10.0.666.0 (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin\10.0.666.0\firefox (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin\10.0.666.0\firefox\extensions (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin\10.0.666.0\firefox\extensions\plugins (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Program Files\ClickPotatoLite\bin\10.0.666.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\Users\Sakura Uchiha\261170b2-3259.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.

-- ;; Sry weiß nicht wie man einen Spoiler o.ä macht

Ich hoffe du kannst mir dort auch weiter helfen.
Denn es sind grade in der Zeit wieder GB verschwunden...
Nun nur noch 37,3GB frei.

lg Kappu

Hi,

ich brauch die Logs von GMER und DDS, bevor ich anfangen kann.
Bitte arbeite die Schritte 1 bis 3 aus meinem vorherigen Post ab und füge die Logfiles dann hier in den Thread ein.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?
Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.