Hallo liebe Gemeinde,

ich habe folgendes Problem:

Gestern wollte ich mir eine "TrialVersion" von TuneUp 2010 aufspielen...allerdings scheint das ganze von einer nicht ganz seriösen Quelle gewesen zu sein -.-

Folgendes geschah:
Ich öffnete die Tuneup exe, daraufhin schlug AntiVir sofort Alarm mit 3 verschiedenen Virushinweisen...ich gab darauhin Antivir die Anweisung die genannten dateien zu löschen und brach die Installation ab....nun geschah das erste merkwürdige "Manöver"....mein computer sagte mir um die installation abzubrechen müsse ich den Rechner neustarten...das kam mir dann schon spanisch vor, aber ich ahtte auch keine Option das ganze anders zu lösen...also reboot...

Da ich mir schon dachte das da sicher etwas schief gelaufen ist überprüfte ich die Prozesse und fand sogleich die ominöse und schon allseist bekannte datei MSA.exe in den aktiven Prozessen....diesen Prozess also gekillt, im windows/system32 Ordner die Msa.exe dann auch gleich gefunden und gelöscht...
Gut, dachte ich...Problem gelöst....doch von wegen -.-
Von nun an öffnete sich im Firefox nach belieben (entweder wenn ich in google nen Link anklicke oder aber auch aus meinen Lesezeichen ne Seite öffnen will ein Ad-Fenster mit beliebiger Werbung (oft Rotkäppchen Sekt, aber auch passendes zu meinen Suchbegriffen.)

Also weitergesucht....

Im Internet dann was gefunden von wegen sshnas21.dll die mit dem Msa.exe virus gerne mal zusammenhängt...also im System32 Ordner gesucht und auch diese dll gefunden....diese dann auch gelöscht und anschliessend so ziemlich jedes Programm mal durchlaufen lassen (ccleaner, Anti-Malware, Ad-Aware, Antivir, Spybot) mit diversen Funden die ich dann auch sogleich gefixt bzw gelöscht habe....Hijackthis hab ich auch schon mehrfach laufen lassen, wobei ich da aber auch nichts ungewöhnliches feststelle...
Die manuelle Anleitung zum Entfernen des Msa.exe Viruses bin ich ebenfalls schon durchgegangen, aber es waren keine der genannten Dateien oder registry einträge zu finden, oder aber ich hatte diese schon gelöscht.

Spyhunter (dieses kostenpflichtige Programm behauptet einen Ptech Virus zu finden, kann diesen aber mit der trial-version natürlich nicht entfernen und denke auch nicht das dass wirklich das Problem ist sondern eher ne masche von diesem Programm damit man es kauft)

Alles in allem bin ich der Meinung das ich so ziemlich alles probiert habe und hier mein Latein am Ende ist...es laufen keine unerwünschten Prozesse, im Systemordner sind keine sichtbaren Problemdateien zu finden...ich gehe davon aus das in der registry irgendwo noch etwas steckt das meinen Browser dazu veranlasst diese Werbefenster zu öffnen..aber was es sein könnte versteh ich langsam nicht mehr...dachte wirklich ich hätte alles an Überbleibsel dieses Viruses vernichtet...

Ich hoffe das mir hier einer der kompetenten Fachkräfte einen Lösungsansatz liefern kann...
Da ich ja weiß was sich gehört hier zuerst mal mein HijackThis log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:00, on 13.02.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\ACEngSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\regedit.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5405 bytes
         

soweit....

hoffnungsvoll,
Paywy

Hallo,

Zitat:

Gestern wollte ich mir eine "TrialVersion" von TuneUp 2010 aufspielen...allerdings scheint das ganze von einer nicht ganz seriösen Quelle gewesen zu sein -.-

Von Tuneup kann ich allgemein nur abraten, es gibt auch andere Tools, die einem beim Aufräumen helfen aber das System nicht gleich hochgradig verändern, zB hatten einige das auf WinXPSP2 installiert und den Rechner mit Tuneup "optimiert" mit dem Ergebnis, dass man kein SP3 mehr installieren konnte und man erst alle Änderungen rückgängig machen musste..
Aus welcher Quelle hast Du diese Tuneup-Trial?

Bitte auch diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Cosinus,

erstmal vielen Dank für deine Antwort, und ja...von Tune Up werde ich grundsätzlich ab jetzt die Finger lassen.
Die Quelle von dem ich dieses TuneUp hatte war das Usenet (ja, ich weiß...dort läuft man eben Gefahr sich Müll auf den Rechner zu holen).
Es war mir auch eine Lehre.

Zu dem Problem...das ganze hat sich mittlerweile erledigt...ich habe einen älteren Thread gefunden mit demseben Problem...habe dann deine bzw die Liste die dort stand abgearbeitet und letztendlich als letzte Maßnahme Combofix drüberlaufen lassen...Combofix hat das Problem dann gefunden und die betreffenden Dateien entfernt...seitdem habe ich keinerlei Probleme mehr.

Letzten Endes behaupte ich auch ein wenig Erfahrung zu haben im Bezug auf Trojaner, Viren etc, bzw. weiß ich mir zu helfen...aber da war ich mit meinem Latein am Ende.

Naja, fürs erste mal keine Probleme derzeit...aber ich denke man wird sich hier noch öfter lesen.

Da ich meine Lösung hierher hatte kann der Thread auf "gelöst" gesetzt werden, und ich bedanke mich nochmal herzlich bei dem wirklich hilfsbereiten und netten Kompetenzteam auf dieser Seite...weiter so !

So far und lg

Paywy

Zitat:

als letzte Maßnahme Combofix drüberlaufen lassen...Combofix hat das Problem dann gefunden und die betreffenden Dateien entfernt

Du solltest eigentlich zuerst die Liste abarbeiten. Von CF war nicht die Rede, das kommt wenn überhaupt (bei mir) nach Malwarebytes und ggf. weiteren Tools dran.
So ohne Kontrolle des Logs ist es eh äußerst fahrlässig jetzt zu "hoffen" alles sei wieder ok. Und Du gibts ja auch selber zu, dass Dir die Erfahrung fehlt...