hallo liebe wizards

ich bin leider kein IT-wizard und lerne seit 2 Tage gerade mehr über regedit,malwarebytes und Chamäleon, hijackthis..

Mein PC (Dell vista) wird immer schlimmer befallen, so dass ich nun auch über einen anderen schreiben muss. Pc läuft momentan im gesicherten Modus mit Netzwerk, aber diese Trojaner setzen immer mehr zu.

gemäss letztem malwarebyte-logfile habe ich; Trojan.Downloader inCrogramfiles/downloader.downloader.exe. ich habe daraufhin MBAM chamäleon gestartet.
Gestern hatte ich noch 4 weitere, die nach Chamaleonspurlos verschwanden, dies waren:
adware shopper, PUP.Bundleinstaller.VG und PUP.Bundleinstaller.AG und PUM.Bad.Proxy.

Je mehr ich recherchiere zu allen diesen Viren, Trojanern (gegoogelt und auf diverse hilfeseiten gestossen, z.b. anvisoft hxxp://forums.anvisoft.com/viewtopic-45-2522-0.html
oder hxxp://blog.yoocare.com/remove-pup-bundle-installer-oi-virus-manually/
oder teesupport: hxxp://blog.yoocare.com/remove-pup-bundle-installer-oi-virus-manually/

mich schlau gemacht habe ich auch hier auf youtube(wie entferne ich manuell einen virus) How to get rid of PUP.Bundle.Installer.OI?

Je mehr ich recherchiere und Malwarebyte starte, desto schlimmer scheinen sich diese bugs dagegen zu wehren und alles verschlimmert sich.Tatsächlich wie Krebszellen..

ich habe mehrere male Malwarebytes durchlaufen mit rootkit und chamäleon. und jetzt ist gar nix mehr in quarantäne???? aber die bugs noch da.tut mir leid, wenn ich echt ne Banause bin und es nicht besser erklären kann, aber grad drum bruach ich Hilfe.
Ich weiss wie ich ins regeditkommte, habe weiss nicht richtig, wie ich nach den entsprechenden registry keys suchen soll. löschen will ich schon gar nicht.
dasselbe auch im tsk manager..ich kann nur vermuten, welche prozesse (komische namen?) auf den trojaner/virus/rootikit hinweisen, kann's aber nicht richtig deuten und getrau mich nicht die prozesse zu stoppen.

Ich kann mir normalerweise mit sehr vielem helfen und beanspruche selten Hilfe, aber jetzt bin ich langsam verzweifelt.

Ich weiss, man braucht hier das logfile (das kann ich noch irgendwie liefern)...aber mien pc installiert kein defogger, OTL Gmer...oder ich bin langsam selber paranoid

bitte, ich wär unendlich dankbar, wenn mir jemand helfen könnte, wie ich diese bugger loswerde. extrem dankbar.

lg
coyogini

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einem USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung.

- oder verwende die folgende -

Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Lieber Matthias

Gaaanz HERZLICHEN Dank...im voraus! Für Deine Zeit, deine Motivation und dein Knowhow!

Ich melde mich grade vom anderen Laptop und werde die benötigten Dateien von hier aus aufs USB speichern. Der betroffene Laptop ist momentan grad am hänge..Maus und Tastatur gefroren. Ich werde jetzt alles soweit möglich vorbereiten und meld mich wieder.

ich scheue keine Arbeit- hab schon 2 Tage schlaflos hinter mir. Ich bin aber echt ne IT-Banause, zwar neugierig und clever, aber keine Ahnung vom Tiefgang und PC-Mechanismen....Ich hoffe es wird für dich nicht zuviel und hab absolutes Verständnis, falls du nicht magst...grad jetz am Weekend.

So oder so, bin dankbar für alles- und weiss nicht, wie ich mich erkenntlich zeigen kann.

Sonnige Grüsse

Matthias

bevor ich starte (hab jetzt farbar auf usb) kleine Zwischenfrage: wollte grad noch meine dokumente und bilder auf externe festplatte speichern. die ist leider auch voll...murphy's law im moment. ich nehme an, dass der ganze pc frisch aufgesetzt wird und ich demzufolge alle persönlichen dateien verliere, oder?

lg
coyogini

Servus,

Zitat:

Zitat von coyogini

ich nehme an, dass der ganze pc frisch aufgesetzt wird und ich demzufolge alle persönlichen dateien verliere, oder?

Den PC setzen wir nur dann neu auf, wenn es gar nicht mehr anders geht.

Beim Ausführen von FRST werden keine persönlichen Dateien gelöscht.

Ich warte auf die Logdatei.

Hallo Matthias

so, bin sowohl über Bios als auch über Windows CD rein.

>schritt 3 start in die Systemwiederherstellung
über F8 komm ich zwar zu den erweiterten Startoptionen, aber die Option "Computer reparieren" fehlt. alle anderen sind vorhanden, aber nie die Reparatur-Option.
HAbs dann mit F12 über Bios versucht- über internal HDD,auch über USB storage device,aber nixgeht.

Mit der CD gehts auch nicht.

Dachte echt, diese ersten Schritte könnte sogar ich machen, aber ich komm ja nich mal auf SChritt 2. "Start des Computersin die erweiterten Startoptionen.

Kanns an meinem alten Laptop liegen (Dell Inspiron 1520, Versionn Bios 12.10.2007,Prozessor intel core TM 2 duo Prozessor.)
PS. der Laptop hatte schon im 3. Monat nach Kauf einen Totalabsturz...mussste Festplatte ersetzen und hab alle Dokus inkl. Masterarbeit verloren. im 2012 hatte ich noch denAntivirusdoktor. dachte mir, ich hätt den mühsam entfernen können? Vielleicht hat er sich wieder aktiviert?

kann ich farbar-scan auch sonst starten?

lg

Servus,



komisch... das ist doch ein Vista Rechner, oder?




Kannst du deinen Rechner jetzt wieder im normalen Modus oder im abgesicherten Modus mit Netzwerkunterstützung starten?

Ja...

hab nochmals im bios nachgekuckt. german vista home premium. inbetriebnahme november 2007..

kann wieder "normal" als auch in anderen optionen (abgesichert, und mit netzwerk) starten.

ach, vergessen....
hab gestern noch avira installiert, plus MBAM Chamäleon. hab über euch noch dieses HijackThis scan gemacht.-kann's sein, dass es das blockiert?

soll ich prnt screen von malwarebyte-logfile schicken? oder kannst du dich bei mir mit diesen "magic hands" einloggen?

sorry, stell wahrscheinlich die naivsten Fragen...

Servus,



führe bitte die folgenden Schritte im normalen Modus durch. Sollte es hier nicht klappen, verwende bitte den abgesicherten Modus.







Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

• Starte bitte dds mit einem Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Setze bitte einen Haken bei
  • dds.txt ( Sollte angehakt sein )
  • attach.txt
  Ändere keine Einstellungen ohne Anweisung
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von DDS,
• die Logdatei von DeFogger,
• die Logdatei GMER.

Hallo Matthias

Schritt 1: DDS als zipfiles im anhang. Ist zwar kleine Datei, aber ich war mir nicht sicher und habs trotzdem gezippt. Hoffe so ok?

Schritt 2: Defogger bis finished und ok. Kein Neustart, aber auch keine
eine Logdatei mit dem Namen defogger_disable.txt auf meinem Desktop. Defogger bleibt beim pop-up-Fenster "..... If you are using in conjonction with Malware Removal Professional, pleasse wait...until they have finished assisting you before clicking Re-enable."

Ich will's nicht "sabotieren" also stopp ich hier mal bevor ich zu Schritt 2 mit gmer übergehe.

Sonntagsgrüsse

Servus,


schließe DeFogger einfach, poste mir die Logdatei von DeFogger (sofern dann vorhanden).
Außerdem bitte auf jeden Fall GMER starten und ebenfalls die Logdatei posten.

Nur durch das Schließen von DeFogger kann nichts passieren.

namaste ;-)

matthias

gmer als zip

und bei defogger ist immer noch nix auf desktop- das einzige, was ich finde ist: ntuser.dat.Log1 ..

sonntagsgruss
c ;-)

defogger/ntuser.dat.Log1 ...kann's nicht anhängen - Meldung: wird verwendet ?!
ich lass es nochmals durchlaufen- macht Spass, duh;-)

Servus,


diese beiden Dateien brauche ich nicht mehr. Lass sie auf dem Desktop liegen, nichts damit machen!

Lesestoff:
Banking-Trojaner
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

ok. soll ich nun combofix starten?