Hallo

habe trotz Suche nichts gefunden (oder übersehen?)

Kann mir jemand sagen, was Rogue.Link bzw. Rogue.Installer ist?
Der Malewarebytes Anti-Maleware hat diese nämlich als Schädling lokalisiert. Was für eine Art Schädling ist es (Trojaner, Virus...)?
Kann ich ihn einfach löschen?

Danke für eure Hilfe

Hallo und Herzlich Willkommen!

Info: Rogue Software - sogenannte `Fakeprogramm`: Rogue.MSAntiSpyware2009/Wikipedia

Trotz Malwarebytes einiges gefunden und auch entfernt, damit kannst du noch sicher sein, so dass dein System sauber ist...also ich gebe Dir den Rat dein System gründlich untersuchen zu lassen
Falls Du es annimmst, arbeite die folgende Punkte ab:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Scanergebnisse von Malawarebytes hier posten

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

6.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

• - also lade Dir Gmer herunter
  - entpacke es auf deinen Desktop und Starte gmer.exe<-hier "umbenannt.com".
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hallo,

erst einmal vielen Dank für Deine flotte Antwort.

Eines verstehe ich jedoch nicht ganz: Der Malewarebytes Anti-Maleware war derjeniege, der diese Meldungen gemacht hat. Wenn nun (ich zitiere aus Wikipedia)...:

"...Rogue-Software (von engl. rogue [rəʊg], hier im Sinn von „Schurke“,
„Spitzbube“, aber auch u. a. „Schelm“), auch Rogueware, ist eine sogenannte
Malware, die vorgibt, eine bösartige Software (meist Spyware) gefunden zu haben
und dies aber nur in seiner kostenpflichtigen Variante entfernen zu können. Die
Aufmachung ist seriösen Scannern meist sehr ähnlich."

...Rogueware eine Maleware ist, die eben o.g. vorgibt (also eine bösartige Software gefunden zu haben), dann heißt das doch für mich, dass der Malewarebytes Anti-Maleware der Schurke ist, denn er hat die angeblich böse Software ja schließlich gefunden?!?!

Ich schicke Dir mal den Scanbericht:

Malwarebytes' Anti-Malware 1.40

Datenbank Version: 2717

Windows 5.1.2600 Service Pack 2

30.08.2009 14:23:01

mbam-log-2009-08-30 (14-23-01).txt

Scan-Methode: Vollständiger Suchlauf

Durchsuchte Objekte: 192123

Laufzeit: 21 minute(s), 44 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 1

Infizierte Dateien: 4



Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Not selected for removal.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Rainer\Favoriten\Online Security Test.url (Rogue.Link) -> Not selected for removal.
C:\Programme\setup.exe (Rogue.Installer) -> Not selected for removal.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url (Rogue.Link) -> Not selected for removal.
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url (Rogue.Link) -> Not selected for removal.

Der Computer auf dem diese infizierten Registrierungsschlüssel und Dateien von Malwarebytes Anti-Malware gefunden wurden, ist übrigens nicht meiner, sondern der Laptop meines Mannes.

Lg

nein...Malwarebytes ist etwas Gutes und legitimes
aber z.B :
wenn man auf dubiosen Seiten surft bestehen Gefahren, dass sich `zufällig ausgerechnet in dem Moment` ein Schädling installiert. Die dann weitere Schadprogramme ( Rogue Software) aus dem Internet nachlädt. Diese Antiviren-Software erstellt eine Warnnachricht, die behauptet, dass "Ihr Computer infiziert ist (die eigentlich gar nicht existiert), danach zeigt es Popups mit gefälschten Bedrohungen usw. Eventuell das vorgetäuschte Antiviren-Programm fordert anschließend Geld für die Beseitigung usw
Aber gibt es genug Fake-Programm im Internet, "direkt" herunterzuladen auch...wenn man sich vorher nicht informiert und man glaubt an das Gute in der Welt...

Hallo Coverflow,

jetzt habe ich ein massives Problem mit meinem Computer (nicht das bisher besprochene) aber meines ist gerade definitiv wichtiger, als das rogue Problem meines Mannes.
Ich weiß nicht, ob Du mir helfen kannst?!?!?? Ich kann meinen PC gar nicht mehr hochfahren. Es erscheint schwarzer Hintergrund mit einer Art Liste in weißer Schrift, darunter steht als vorletzter Satz: Fehler beim Lesen des Datenträgers - Neustart mit Strg + alt + Entf. Wenn ich dies mache, erscheint die gleiche Liste wieder, ergo er starteet immer noch nicht hoch. Weißt Du, was da los ist??? *verzwiefelt schaut* Jetzt gerade schreibe ich Dir über meinen alten Laptop.

hi

was hast Du gerade gemacht, wenn das passiert ist?
Hast du vorher Auffälligkeiten, Probleme oder in letzter Zeit? ein wenig Details wäre nett...
Die beiden Rechner in einem Gemeinsame Netzwerk gebunden?
kommst Du in den abgesicherten Modus?
drücke beim hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast:

-Abgesicherter Modus
-Abgesicherter Modus mit Netzwerktreibern
-Abgesicherter Modus mit Eingabeaufforderung
...

Zitat:

Zitat von Coverflow

hi

was hast Du gerade gemacht, wenn das passiert ist?

noch gar nichts, hatte den Pc nur hochgefahren und er hängte sih sofort aus. Es ging nichts mehr, außer Reset.

Hast du vorher Auffälligkeiten, Probleme oder in letzter Zeit? ein wenig Details wäre nett...

In der letzten Zeit hat er sich öfters einmal aufgehängt, in größeren Abständen, aber genauso wie heute, so dass nichts mehr ging.

Die beiden Rechner in einem Gemeinsame Netzwerk gebunden?

nein, alles wie seit eh und je ohne netzwerk oder eine veränderung irgendeiner art

kommst Du in den abgesicherten Modus?

ich weiß es nicht, als ich ihn jetzt eine Weile aus hatte und dann nochmal startete, um zu sehen, ob das Problem noch existiert, lief er ganz normal hoch und hat sich seit dem auch noch nicht wieder augehängt.

drücke beim hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast:

-Abgesicherter Modus
-Abgesicherter Modus mit Netzwerktreibern
-Abgesicherter Modus mit Eingabeaufforderung
...

Moment, ich schreib Dir mal die Meldung auf, die er weiß auf schwarz brachte, mach ich in einer neuen Nachricht.

Folgende Meldung brachte er sofort nach dem Hochfahren, weiße Schrift auf schwarzem Hintergrund:



IDE Channel 2. Master Disk: LBA,ATA 133, 750 GB
PCI device listing......

Bus No. Device No. Func No. Vendax/Device Class Device Class IRQ
0 3 1 10DE 07D8 0C05 SMBusCntrlr 11
0 3 3 10DE 07DA 0B40 Processors 11
0 4 0 10DE 07FE 0C03 USB 1.0/1.1.OHCI Cntrlr 5
0 4 1 10DE 056A 0C03 USB 2.0 EHCI Cntrlr 10
0 8 0 10DE 056C 0101 IDE Cntrlr 14
0 9 0 10DE 07FC 0403 Multimedia Device 5
0 14 0 10DE 07F0 0101 IDE Cntrlr 11
0 16 0 10DE 07E3 0300 Display Cntrlr 10
1 8 0 1814 0301 0280 Network Cntrlr 11
3 0 0 11AB 4364 0200 Network Cntrlr 10
ACPI Controller 9

Verifying DMI Pool Data:
Boot from CD:

Fehler beim Lesen des Datenträgers
Neustart mit Strg + alt + Entf


--- Ende der Meldung ---

Ich sehe gerade, dass mir dieses Forum die Tabelle zerwürfelt hat.

Die jeweils erste Ziffer (einstellig+bis auf die letzten zwei eine O) gehört zu Spalte: Bus No.
Die zweite Ziffer (einstellig oder zweistellig) gehört zu: Device No.
Die dritte Ziffer (einstellig) gehört zu: Func No.
Die erste vierstellige Zahlen- und Buchstabenkombi gehört zu: Vendax
Die zweite vierstellige Zahlen- und Buchstabenkombi zu: Davice
Die dritte vierstellige Zahlen- und Buchstabenkombi steht unter: Class
Die Beschreibung erscheint unter: Device Class
Und die jeweils letzten ein oder zwei Zahlen gehören zu: IRQ

Hoffe, ich habe dich jetzt nicht beleidigt mit der Erläuterung. Wollte nur nicht, dass du durcheinander kommst.

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Ok, werde ich gleich morgen machen. Heute gehts leider nicht mehr, da zu zeitaufwendig (ich muss morgen früh zeitig raus)

bis dahin, danke & liebe grüße

Hallo,

ich würde Dir diese äußerst genauen Informationen meines Computers lieber per PN (falls hier möglich) oder auf anderem Wege schicken. Ich möchte nicht dass alle Welt sieht, was ich wie und warum auf meinem Computer habe.
Kann ich sie Dir auch als Email-Anhang senden?

Liebe Grüße
Ginn

hi

** kannst Du die Logs bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Hi,

ein Link, denn dann aber auch jeder anklicken kann, oder?
Nimms mir bitte nicht übel, aber jemand der sich auskennt kann wahrscheinlich richtig viel aus den Daten auslesen.

Deine persönlichen Angaben/Daten (die persönliche Merkmale enthalten, wie Name, Seriennummer etc) kannst Du aus dem geposteten Logs heraus löschen bzw z.B mit xxx ersetzen