Guten Tag,

ich bekomme seit zwei Tagen von Avast die Meldung über win32:evo-gen.

Leider bekomme ich die Malware nicht komplett entfernt.
Ich habe zwar unsere drei Internetseiten nach bestem Wissen gereinigt, aber die Malware hat sich vermutlich auf dem PC eingefressen?!

Auf den Webservern war überall eine Datei namens default.php hochgeladen.

Zwei der Seiten wurden sicherheitshalber von Google gesperrt.

Ich habe Spybot Search & Destroy 1.6.2 ausgeführt.
Von meinem Provider bekam ich die Info zum Scannen mit hxxp://www.eset.com/home/products/online-scanner/

Ich denke nicht, dass mein PC schon sauber ist.

Was kann ich tun um PC und Internetseiten zu reinigen bzw sicherzugehen?

Vielen Dank schonmal
Marie

hi
poste die Avast fundmeldungen mit Pfadangabe.
und die Eset berichte mit funden
http://www.trojaner-board.de/125889-...en-posten.html

Oh... da war ich wohl zu schnell.

Eset wurde automatisch nach dem Suchlauf deinstalliert. Ich habe leider keinen Bericht!

Bei Avast finde ich leider keine Möglichkeit, die Protokolle als txt zu kopieren. Ich habe deshalb 3 Bildschirmdrucke von der Startzeitprüfung, der schnellen Prüfung und dem Container angehängt.

Hier noch der letzte Bericht von Malwarebytes:

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.15.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
mr :: MR-PC [Administrator]

15.02.2013 11:39:14
MBAM-log-2013-02-15 (11-42-12).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237803
Laufzeit: 1 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1892 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)


Danke!

sorry, aber das:
wer so was nutzt, ist selbst schuld an malware infizierungen.
C:\Windows\kmsem\KMService.exe
ist ne illegale Windows Version, und das können wir nicht unterstützen:
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Danke für deine Nachricht!

Ich habe definitiv keine illegale Windows-Version.
Der PC wurde bei Medion vor ca. einem halben Jahr INKL Windows 7 erworben!!
Schon alleine, weil der PC geschäftlich genutzt wird!

Wenn ichs irgendwie beweisen kann, dann mach ich das gerne!

Gibts es keine andere Möglichkeit als neu zu installieren?

Danke
Marie

lad mir die Datei:
C:\Windows\kmsem\KMService.exe
Trojaner-Board Upload Channel
hier hoch bitte.

Gerne, aber ich finde unter C:\Windows keinen Ortner namens \kmsem und auch per Suche im Explorer die Datei nicht?!

dann schau mal in der Malwarebytes quarantäne, und stelle die wieder her.

Wiederherstellung hatte ich schon gemacht! Leider keine Veränderung?!?
Kann es evtl. von Spybot Search & Destroy gelöscht worden sein?

es ist in der Malwarebytes quarantäne davon wurde es laut deinem Log gefunden.

Ja sorry, hab ich wiederhergestellt!! Aber es gibt jetzt trotzdem unter c/windows keinen Ordner der mit "K" beginnt.
Auch über die Standard-Suchfunktion finde ich keine Datei namens KMService.exe.

wenn du das bei dem eingabefeld im upload channel einkopierst, bei dateiname und dann hochlädst klappt das, datei is evtl. nur versteckt
falls nicht, computer öffnen, extras, ordneroptionen, geschützte systemdateien ausblenden haken raus, versteckte dateien einblenden haken rein, übernemen ok und noch mal gucken

Nein geht nicht!!

Du denkst, wir haben ein gecracktes Windows drauf?

Wie kann ich Dir das anderweitig beweisen!
Ich mach Fotos vom Aufkleber auf dem PC und schick Dir gern die Rechnung von Medion!
Oder was kann ich tun?

Kann erst wieder heut abend antworten, muß mich um die zwei Kleinen kümmern!

Danke, Marie

Hi
der Fund legts auf jeden fall nahe das ihr etwas gecracktes auf dem PC habt. deswegen kann ich dir eigendlich nur beim neu aufsetzen und absichern helfen, die Forenregeln sind da klar.