Einen schönen guten Tag,

vornweg - ich bin KEIN Experte bezüglich Viren, Trojaner, etc..

Was muss ich tun um die Viren weg zu kriegen von meinem Laptop. Habe 29 (entsprechend VISTA INTERNET SECURITY 2010).


Grossen Dank für eine EINFACHE Antwort.

Wie gesagt, ich bin KEIN Experte.

EINE EINFACHE STEP BY STEP ERKLÄRUNG WIE ICH DIE VIREN BEREINIGEN KANN WÄRE SUPER!


John Marcos

PS: Hab' ein Beispiel angeführt bezüglich der Viren (siehe die 3 Fotos).

Das sieht aber nicht gut aus, da hast dir einiges eingefangen.
- Hast du die Viren per "Remove All" entfernt?
- Hast du Zugriff auf einen sauberen Rechner? Es kann sein, dass deine Passwörter mitgelesen wurden. Bitte von einem sauberen Rechner alle deine Passwörter ändern (e-Mail, Online-Banking, eBay, ...)

Würde dich mal bitten, weiters folgendes zu unternehmen:

1.) Malwarebytes Anti-Malware
Anleitung abarbeiten: http://www.trojaner-board.de/51187-a...i-malware.html

2.) Randoms System Information Tool
Anleitung abarbeiten: http://www.trojaner-board.de/74910-a...tion-tool.html

Die Logfiles (3 Stück) dann bitte hier posten.

Wenn dein System zu sehr verseucht ist, müssen wir dein System komplett neu aufsetzen - aber mal sehen was die Logfiles sagen...

Wenn du Fragen hast, einfach fragen

mfg,TXL

Hi


Also erstmal:
WARNUNG
Vista Internet Security 2010 ist selber ein Virus. Es ist ein Fake ANtivirenprogramme. Diese Programme geben vor ein echtes zu sein und wollen erreichen, dass du die Vollversion kaufst. Meistens enthalten sie auch selber Viren.
Von daher isnd die Meldungen von Vista Internet Security unbrauchbar, da sie nicht stimmen. Sie sollen lediglich zum Kauf helfen.
Der Erste Schritt wird sein: Entfernung von "Vista Internet Security 2010".
Dies stellt vor allem für einen Leihen schon eine Herausforderung dar.

Also alle Meldungen von Vista Internet Security sind wertlos und man muss sich auf die Entfernung von Vista Intenet Security konzentrieren.

MfG
pattiwilli

Zitat:

Zitat von pattiwilli

Hi


Also erstmal:
WARNUNG
Vista Internet Security 2010 ist selber ein Virus. Es ist ein Fake ANtivirenprogramme. Diese Programme geben vor ein echtes zu sein und wollen erreichen, dass du die Vollversion kaufst. Meistens enthalten sie auch selber Viren.
Von daher isnd die Meldungen von Vista Internet Security unbrauchbar, da sie nicht stimmen. Sie sollen lediglich zum Kauf helfen.
Der Erste Schritt wird sein: Entfernung von "Vista Internet Security 2010".
Dies stellt vor allem für einen Leihen schon eine Herausforderung dar.

Also alle Meldungen von Vista Internet Security sind wertlos und man muss sich auf die Entfernung von Vista Intenet Security konzentrieren.

MfG
pattiwilli

Hallo Pattiwilli,

ich vertraue dir.

Was muss ich anstellen um Vista Internet Security 2010 vollständig zu entfernen?

Gruss,

John Marcos

Hi
Ich werde dir selbstverständlich helfen.
Ich bin nur gerade bei der Arbeit und kann dir zurzeit schlecht helfen.
Wenn ich zuhause bin helfe ich dir gerne und werde den Virus mal bei mir installieren um dan zu schauen, wie mann ihn (ob überhaupt) entfernen kann. Da ich es beriets mit einen ähnliche VIrus zu tun hatte kann es sein, dass wir dein System neu aufsetzen müssen.

Ich hoffe du kannst bis heute abend warten.
Aber du kannst (wenn möglich) hier bitte ein HijackThis Logfile posten.
Außerdem solltest du dir mal diese Seite anschauen:
http://www.trojaner-board.de/69886-a...-beachten.html

MfG
pattiwilli

Zitat:

Zitat von TXL

Das sieht aber nicht gut aus, da hast dir einiges eingefangen.
- Hast du die Viren per "Remove All" entfernt?
- Hast du Zugriff auf einen sauberen Rechner? Es kann sein, dass deine Passwörter mitgelesen wurden. Bitte von einem sauberen Rechner alle deine Passwörter ändern (e-Mail, Online-Banking, eBay, ...)

Würde dich mal bitten, weiters folgendes zu unternehmen:

1.) Malwarebytes Anti-Malware
Anleitung abarbeiten: http://www.trojaner-board.de/51187-a...i-malware.html

2.) Randoms System Information Tool
Anleitung abarbeiten: http://www.trojaner-board.de/74910-a...tion-tool.html

Die Logfiles (3 Stück) dann bitte hier posten.

Wenn dein System zu sehr verseucht ist, müssen wir dein System komplett neu aufsetzen - aber mal sehen was die Logfiles sagen...

Wenn du Fragen hast, einfach fragen

mfg,TXL

Hallo TXL,

mach gerade Komplett-Scan.

Zitat:

Zitat von pattiwilli

Hi
Ich werde dir selbstverständlich helfen.
Ich bin nur gerade bei der Arbeit und kann dir zurzeit schlecht helfen.
Wenn ich zuhause bin helfe ich dir gerne und werde den Virus mal bei mir installieren um dan zu schauen, wie mann ihn (ob überhaupt) entfernen kann. Da ich es beriets mit einen ähnliche VIrus zu tun hatte kann es sein, dass wir dein System neu aufsetzen müssen.

Ich hoffe du kannst bis heute abend warten.
Aber du kannst (wenn möglich) hier bitte ein HijackThis Logfile posten.
Außerdem solltest du dir mal diese Seite anschauen:
http://www.trojaner-board.de/69886-a...-beachten.html

MfG
pattiwilli

Hallo Pattiwilli,

ich denke ich bin auf dem richtigen Weg.

Momentan läuft "Malwarebytes' Anti-Malware" und führt einen Komplett Scan durch.

Dann werde ich...
1. alles Gefundene löschen
2. und den "Scan Bericht" posten


Tolles Forum.

Kompetente Hilfe

John Marcos

Hallo TXL + Patwilli,

hier vorab schon einmal von RSIT - Randoms System Information Tool:

C:\rsit\log.txt und C:\rsit\info.txt


Dieser log + info Text ist erstellt worden während Malwarebytes' Anti-Malware den vollständigen Scan durchführt.


Gruss,

John Marcos

Hallo TXL + Patwilli,

hier nun:
1. Der Logfile von Malwarebytes' Anti-Malware nach vollständigem Scan
2. C:\rsit\log.txt nach vollständigem Scan
3. C:\rsit\info.txt nach vollständigem Scan


Gruss,

John Marcos

Hallo!

Das Logfile von Malwarebytes fehlt noch.
Du hast eines "log.txt" doppelt eingestellt

mfg,TXL

Zitat:

Zitat von TXL

Hallo!

Das Logfile von Malwarebytes fehlt noch.
Du hast eines "log.txt" doppelt eingestellt

mfg,TXL

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3818
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

03.03.2010 19:30:45
mbam-log-2010-03-03 (19-30-45).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 335468
Laufzeit: 1 hour(s), 49 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo John Marcos,

bitte führe folgendes Tool aus:

http://www.trojaner-board.de/74908-a...t-scanner.html

Poste bitte das Logfile in

HTML-Code:

[CODE][/CODE]

Tags.

Bei Fragen, einfach schreiben

Noch so neben bei:
Das gefällt mir schon nicht:

Code: Alles auswählenAufklappen

ATTFilter

"fltdbi"=c:\users\johannes\appdata\local\fltdbi.exe fltdbi []
"{9D71D88C-C598-4935-C5D1-43AA4DB90836}"=C:\Users\Johannes\AppData\Roaming\Bifrost\Windows.exe []
         

Naja, mal sehn, was sich ergibt

Gruß
Handball10

Oha...Bifrost...alias BiFrose Backdoor Trojaner...nicht gut!

Aber warum hat das MBAM nicht gefunden?

Seltsam!

Scheint meiner Meinung nach aber keine Active Infektion zu sein, oder?

Mal abwarten, was der Helfer sagt...

Zitat:

Zitat von handball10

Hallo John Marcos,

bitte führe folgendes Tool aus:

http://www.trojaner-board.de/74908-a...t-scanner.html

Poste bitte das Logfile in

HTML-Code:

[CODE][/CODE]

Tags.

Bei Fragen, einfach schreiben

Noch so neben bei:
Das gefällt mir schon nicht:

Code: Alles auswählenAufklappen

ATTFilter

"fltdbi"=c:\users\johannes\appdata\local\fltdbi.exe fltdbi []
"{9D71D88C-C598-4935-C5D1-43AA4DB90836}"=C:\Users\Johannes\AppData\Roaming\Bifrost\Windows.exe []
         

Naja, mal sehn, was sich ergibt

Gruß
Handball10

Hallo Handball,

Das Programm stürzt am Ende von einem Moment zum anderen ab.

Ich konnte beim zweiten Scanvorgang 3 Sekunden vorher noch kurz auf COPY drücken.
Hier das Resultat:



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-04 00:19:07
Windows 6.0.6002 Service Pack 2
Running: b6jf5zlp.exe; Driver: C:\Users\Johannes\AppData\Local\Temp\pgtyrkow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x8A952480, 0x3C939, 0xE8000020]
.dsrt C:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x8A993900, 0x3CA, 0x48000040]
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EC08000, 0x1FB0FA, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe[3512] ntdll.dll!DbgBreakPoint 77618B2E 1 Byte [90]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [737E7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [7383A86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [737EBB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [737DF695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [737E75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [737DE7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73818395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [737EDA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [737DFFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [737DFF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [737D71CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7386CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [7380C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [737DD968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [737D6853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [737D687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3880] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [737E2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

Sieht nicht gut aus.
Aber das ist definitiv nicht alles!
Ich hatte schon mehrmals infizierte Rechner mit solchen Fake-AV Programmen hier stehen.

Zitat:

Zitat von BIOTEC

Scheint meiner Meinung nach aber keine Active Infektion zu sein, oder?

Mal abwarten, was der Helfer sagt...

Jupp
Vista Internet Security blockt mehr oder weniger Antivirenprogramme (Bypass oder ähnliches). Deswegen finden die Scanner teilweise nicht alle Viren. Deswegen sind die Scanns während Vista Internet Security läuft teilweise nutzlos bzw. unvollständig. Auch die Programmabstürze erzeugt Vista Internet Security. Du kannst froh sein überhaupt noch .exe Dateien zu öffnen.


Deswegen musst du Vista Internet Security beenden. Somit wird anscheinend auch der "Schutz" der Viren beendet. Gehe dafür wie folgt vor:
1. Lad dir mit einem anderen Computer den process explorer von Microsoft runter
2. benenne ihn in "explorer.exe" um
3. öffne ihn auf dem infizierten Rechner von USB Stick, CD, etc...
4. Kille den Prozess Vista Internet Security (am besten ganze Struktur)
5. Erneuten Scann mit Malwarebytes etc...

Es kann funktionieren, muss aber nicht!

MfG
pattiwilli