Hallo,
ich habe mich hier angemeldet weil ich ein Problem seit einigen Wochen habe.
Ich war im Urlaub und kann das Problem jetzt erst versuchen zu lösen.

Ich habe mir den Virus (?) AV Security Suite eingefangen.
Ich war auf irgendeiner Seite und plötzlich stand unten in der Leiste neben der Uhr dieses Zeichen von dem Virus. Er hat direkt meine Daten gescannt.
Ich habe direkt gegoogelt und dort fand ich heraus dass es sich um einen Virus handeln soll.
Ich habe durch einige Anleitungen versucht den Virus von meinen PC zu bekommen aber es hat nie geklappt.
In den Anleitungen stand, dass ich den PC neustarten soll und der Virus dann weg sein sollte aber bei mir war er immer noch da.
Irgendwann ließen sich keine Dateien oder das Internet öffnen.

Ich habe dann erstmal das Konto gewechselt. Auf mein Adminkonto hatte ich dann auch auf keinen Zugriff auf Dateien.
Ich habe drei Konten auf meinen Rechner.
Auf zwei von denen war der Virus gekennzeichnet.
Auf dem dritten kann ich die ganze Zeit ungehindert arbeiten.

Ich war jetzt im Urlaub und habe den PC kaum genutzt.

Ich habe heute die anderen Konten ausprobiert und ich konnte jeweils wieder auf die Dateien zugreifen jedoch komme ich nicht ins Internet.
Es werde auch keine Meldungen etc mehr angezeigt. Ich finde aber das die beiden Konten langsamer laufen.

Könnte der Virus jetzt doch weg sein oder wieder ausbrechen??

Kann jemand mit mein Problem etwas anfangen?
Ich hoffe dass meine Schilderungen reichen.

Danke!

Hallo und

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo und danke für die Antwort.

Soll ich jetzt beide Scans (Vollscan & Systemscan) machen und die anschließend posten?
Ist es egal auf welchem Konto ich die Scans durchführe?

LG

Ist egal, Hauptsache es hat Adminrechte

So die Scans habe ich durchgeführt

Hier die Ergebnisse:

Der Vollscan:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4436

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.08.2010 19:39:08
mbam-log-2010-08-16 (19-39-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 174702
Laufzeit: 25 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kfmqgdwl (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Anwendungsdaten\cfdnjtcex\jcbhmjktssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\aXGv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHOE1CLL\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001081[1] (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRALKX\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001080[1] (Trojan.Downloader) -> Quarantined and deleted successfully.

Das wird zu unübersichtlich. Wenn die Logs so nicht reinpassen, bitte beide zippen und hier anhängen.

Das habe ich auch schon bermerkt allerdings funktioniert es anders nicht.
Kann ich dir das per Email senden?

Lad die zip bei file-upload.net hoch und verlink das hier.

Dann ist hier der Link:

hxxp://www.file-upload.net/download-2753097/komplett.odt.html

richtig so?

Zitat:

komplett.odt

Hm, odt ist aber kein zip-format, das erklärt warum Du das hier nicht anhängen kannst. Geht auch, aber warum machst Du das so, wenn ich schreibe, du möchstest bitte die originalen txt-Logs zippen?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = download.bleepingcomputer.com;*.bleepingcomputer.com;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5577
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell - "" = AutoRun
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ich habe es durchgeführt etwas posten sollte ich jetzt nicht oder?

Steht doch in meiner letzten Antwort was Du machen musst oder ist das nicht eindeutig!

So da kam nämlich nichts.
Ich wolllte es heute nochmal probieren und es kam so ein Log. Ich schick dir mal die Datei hxxp://www.file-upload.net/download-2758619/OTL-Log.odt.html

Gruß

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.