Hallo,

auch mein PC leidet unter diesem Virus.

Ich habe mich genaustens nach der Anleitung auf diesem Board gehalten und Malewarebytes löscht/findet das Security Suite trotzdem nicht.

Im abgesicherten Modus wird Security Suite garnicht erst gestartet und rkill beendet auch keine Prozesse.
Im normalen Mudus startet Security Suite wie erwartet, außer wenn ich direkt nach dem Hochfahren den Taskmanager öffne und die zwei Prozess wwyhmuvshdw.exe beende. Die Benutzernamen hinter den Tasks werden meistens nicht angezeigt.

Gibt es eine Möglichkeit den Virus doch noch zu entfernen? Soll ich die Prozedur mal im normalen Modus ausprobieren?

Logfiles: (Im Anhang)
Die Logfiles habe ich alle im abgesicherten Modus und z.T. mit OTL erstellt.


Lg
Footie

Hallo und

Gibt es da noch mehr Log von malwarebytes? Glaub ich so nicht ganz, dass da nach einem Fullscan nichts gefunden wurde!

Hallo,

ich habe Malewarebytes im normalen Modus laufen lassen und nun wurde der Virus anscheinend gelöscht :-)

Warum sollte man das überhaupt im sicheren Modus machen?


lg

Das beantwortet meine Frage aber nicht. Ich kann Dir nicht helfen wenn Du meine Fragen nicht beantwortest.
Was wurde da nun genau gelöscht und gibt es noch weitere Log von malwarebytes?

Hi,

es gab keinen weitern log im abgesicherten Modus, aber hier ist der Log von Malewarebytes und rkill, der im normalen Modus erstellt wurde :-)
Danke.


Lg

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [aqqvqkrt] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\piiscjtoj\wwyhmuvshdw.exe ()
O33 - MountPoints2\{0221e61a-bd7d-11de-89ca-00110962211b}\Shell\AutoRun\command - "" = L:\StartPortableApps.exe -- File not found
O33 - MountPoints2\{26bc453c-a6b9-11df-a993-00110962211b}\Shell - "" = AutoRun
O33 - MountPoints2\{26bc453c-a6b9-11df-a993-00110962211b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{26bc453c-a6b9-11df-a993-00110962211b}\Shell\AutoRun\command - "" = J:\Startme.exe -- File not found
@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ADF211B1
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Okay, hier ist der Log


Dachte ich hätte Chrome und Opera deinstalliert?! Den Chache anscheinend nicht, gut.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Okay, danke für die Anleitung.

Hier ist der Log.

Lg

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4398:TCP"=-
"4398:UDP"=-
"5222:TCP"=-
"5222:UDP"=-
"1863:TCP"=-
"1863:UDP"=-
"6111:TCP"=-
"6111:UDP"=-

Driver::
musbehco
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Okay, habe ich gemacht :-)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hi,

nach mehereren Stunden ist GMER abgestürzt. Ich habe es dabei belassen und nur die anderen beiden Programme ausgeführt.
Leider scheint das Rootkit nicht richtig funktioniert zu haben, oder irre ich mich?

lg

OSAM ist ok, bitte damit nichts entfernen oder deaktivieren!

Einen Gegencheck des MBR brauch ich noch:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Okay, hier ist der screen :-)