Hallo zusammen,

seit Gestern Nachmittag hat anscheinend der "Windows System Defender" meinen PC besetzt.
Dies führt dazu, dass permanent Fenster aufploppen, die mir versichern, ich hätte sooooo viele Viren drauf und die mir raten, sie alle zu entfernen. Außerdem ist der PC um einiges langsamer geworden. Den Taskmanager kann ich auch nur aufrufen, nachdem ich ihn umbenannt habe. Ich habe hier (wurde bei Google an anderer Stelle empfohlen) den "Wsaxxxxxx"-Prozess beendet, was allerdings nicht half.

Natürlich habe ich vorher im Board die entsprechenden Themen angeschaut, doch dort wird immer auf "MalwareBytes-Anti-Malware" verwiesen, wobei hier vom Defender die Installation (auch nach Umbennenung via Rechtsklick -> speichern unter) sofort unterbunden wird. Ebenso blockiert den CCleaner

Ich hoffe ihr könnt mir bei diesem Schädling helfen

Hallo und

Wenn CCleaner und MalwareBytes (noch) nicht funktionieren, wären erstmal Logfiles von RSIT hilfreich. Nimm für RSIT bitte diese umbenannte Version von RSIT.exe

Selbst die umbennante Installation wird unterbunden, in der Taskleiste kommt dann der tolle Hinweis "xxx.exe" wäre ein fieser Wurm, der meine Information stehlen wolle :X

Dann probiere bitte OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Update!

Ich habe beim Durchstöbern einiger Ordner eine verdächtig wirkende .exe-Datei mit zufällig exakt dem Taskleistensymbol des Defenders gefunden, der Name war eine wirre Zahlenkombination. Nachdem ich jenen Prozess mithilfe des umbenannten Taskmanagers beendet & die Datei gelöscht habe, kann ich nun doch die Malwarebytes Installation aufrufen.

Soll ich nun mit Malwarebytes Scannen/Löschen & den anschließenden Log hier posten oder doch noch mit dem von dir empfohlenen Programm?

Ja mach das. Probier dann auch RSIT aus.

Also hier der Rsit-Report!



Der Malwarebytes-report ist zu groß um ihn mit der Forenfunktion hochzuladen, was mach ich da?

Zitat:

Zitat von elliphas

Der Malwarebytes-report ist zu groß um ihn mit der Forenfunktion hochzuladen, was mach ich da?

Hänge den doch genauso an wie das RSIT-Logfile!
Reiche dann auch gleich die info.txt nach!

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a894535\WSa894.exe

Files to delete:
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\system32\winsys2.exe
C:\DOKUME~1\Simon!\LOKALE~1\Temp\b.exe

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a894535
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hier der Log vom Avenger und die Info vom Rsit!

Beim Malwarebytes-Log gibts bei dem Uploaden hier halt folgenden Error:

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 128,4 KB groß.

Das Malwarebytes Logfile kannst Du bei File-Upload.net hochladen und hier verlinken! Vorher zippen und hier anhängen müsste auch möglich sein!

Edit: Wenn Du schon dabei bist, auch bitte Lop S&D ausführen:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hier die beiden Scanberichte

Da hat Malwarebytes aber ne ganze Menge runtergeschmissen!
Bitte Combofix nun ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

War leider den größten Teil der Woche nicht zuhause, deshalb kommt meine Antwort erst so spät

Im Anhang der Log des Combofix!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"=-
"msnmsgr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-

Folder::
c:\programme\DNA
c:\dokumente und einstellungen\Simon!\Anwendungsdaten\DNA
c:\dokumente und einstellungen\Simon!\Anwendungsdaten\BitTorrent

Driver::
SetupNTGLM7X
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!