|
Plagegeister aller Art und deren Bekämpfung: Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.09.2010, 10:26 | #1 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Liebes Forum, ich habe das folgende Problem und habe alles, was ich zu dem Thema gefunden habe versucht. Da bei jedem Thread zum ähnlichen Thema nach der Nutzung von rkill und Malwarebytes, den ich in herbert.exe umbenannt habe, immer nach den Logfiles gefragt wurde, habe ich nun alle zusammen gestellt. Mein Problem: 1. Am 14.09. fing ich mir den Anti Malware Doctor ein. Dank des zweiten Benutzers, der Passwort geschützt ist, konnt ich rkill herunter laden und das system wiederherstellen. Somit war das akute Problem zunächst behoben. 2. Dann begann folgendes: - immer öfter leitete mein Browser auf die falschen Seiten, wenn ich auf die Ergebnisse von Google geklickt habe. Nach rkill ging es einige Zeit, fing dann aber wieder an. - es öffnen sich einfach so irgendwelche Seiten in einem neuen Fenster - sowohl Internet Explorer, als auch Firefox stürzen immer wieder ab, auch Thunderbird - die Internetverbindung wird immer wieder unterbrochen. Es liegt nicht an meinem W-Lan - der Rechner wird sehr oft, seeeehr langsam und bleibt hängen 3. am 23.09. kam dann der Microsoft Security Essentials Alert, den ich auch nur mit der Systemwiederherstellung "beheben" konnte. Ich habe danach das kostenlose online Tool Panda Security benutzt. Die Probleme aus Punkt 2 tauchen immer noch auf. Auf Rat einiger Foren, habe ich Malewarebytes und Super Anti Spyware auf dem Rechner. Advanced System Care kam mit dem Super Anti Spyware. Was der wirklich bringt weiss ich nicht. Alle Programme habe ich in der Zwischenzeit mehrmals laufen lassen und entfernte alle infizierten Dateien. (Wohl auch zu viele Teilweise). Aber der Rechner läuft immer noch nicht. Nun folgende Infos: Ich habe den Rechner gebraucht gekauft. Ich weiss, dass da wohl ziemlich viel hin sein kann, aber ich brauche diesen Rechner noch ca. 6 Monate, weil ich keine Kohle für einen neuen habe. Und ich gebe es gleich zu: Avira ist abgelaufen. Aus Fehlern sei gelernt und ich werde mir sofort alles nötige besorgen, aber zunächst möchte ich Euch um Hilfe bitten, um diesen Rechner noch irgendwie zum Laufen zu bringen. Lange Rede kurzer Sinn: Ich bitte Euch sehr, mir zu helfen. Hier die Dateien: Ich habe alle Schritte befolgt und hoffe, dass ich nicht falsch gemacht habe. Da ich die defogger Datei nicht im Anhang hochladen kann, warum auch immer, hier direkt: defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:10 on 24/09/2010 (***) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... Unable to read mswex.sys -=E.O.F=- Ich bedanke mich im Voraus und hoffe, dass das Ganze irgendwie machbar ist. Liebe Grüße, ale |
25.09.2010, 22:23 | #2 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Hi,
__________________auf eigene Gefahr (da ist einiges los auf dem Rechner)... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Danach ein neues OTL-Log posten und MAM updaten und laufen lassen! chris
__________________ |
27.09.2010, 13:11 | #3 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Hallo!
__________________Vielen Dank für Deine Antwort. Anbei die Datei von ComboFix und die OTL Datei. Meinst Du mit MAM den MalwareBytes? Ich lasse den jetzt durchlaufen. Falls ich da was falsch verstanden habe, gib mir doch einfach Bescheid. Die andere Datei kommt heute Abend, da ich erst heut Abend ausm Büro komme. Liebe Grüße, ale |
27.09.2010, 16:33 | #4 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Hi, wow! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\drwaavaw.dll c:\windows\system32\Upgrd.exe c:\windows\drwavaws.dll
Fix für OTL:
Achtung! vergiss nicht die *** gegen den richtigen Pfad auszutauschen! Ev. hat MAM auch schon einiges gefunden und unschädlich gemacht, dann gibt es halt ein paar Fehler ;o) Code:
ATTFilter :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - [2010.09.24 15:40:46 | 000,068,224 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys -- (khqlmxop) O4 - HKCU..\Run: [{5453699D-9F1F-B249-624D-D82C1A785415}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Owwuo\ocowi.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 59t4 = C:\DOKUME~1\***-***~1\LOKALE~1\Temp\1biq.exe File not found [2010.09.24 15:40:46 | 000,068,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\oopuhnpkpjv.sys :Files c:\windows\system32\drivers\mswex.sys c:\windows\upeslxds.dll c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\anmef.exe c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\ocowl.exe c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\pyem.exe c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\yzici.exe :Commands [emptytemp] [Reboot]
TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. Dann bitte nochmal ein OLT-Log und zwar wie folgt:
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys mv61xx.sys /md5stop c:\windows\system32\drivers\*.sys /lockedfiles c:\windows\system32\*.dll /lockedfiles %systemroot%\*. /mp /s %PROGRAMFILES%\*. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs CREATERESTOREPOINT
Und das was mit dem MBR ebenfalls nicht stimmt: MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
28.09.2010, 22:20 | #5 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Hallo Chris, anbei alle Dateien. Ich hoffe, dass alles richtig ist. c:\windows\system32\drwaavaw.dll File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: a8412909475b25430c0e2e0b380b3865 Date first seen: 2010-09-20 15:50:57 (UTC) Date last seen: 2010-09-24 21:53:10 (UTC) Detection ratio: 3/43 c:\windows\system32\Upgrd.exe File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: da67fca724b077642b4a05ae5c954cc3 Date first seen: 2009-02-13 23:39:53 (UTC) Date last seen: 2010-09-05 02:12:53 (UTC) Detection ratio: 0/43 c:\windows\drwavaws.dll File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: a8412909475b25430c0e2e0b380b3865 Date first seen: 2010-09-20 15:50:57 (UTC) Date last seen: 2010-09-24 21:53:10 (UTC) Detection ratio: 3/43 Der Rest der Reihenfolge nach im Anhang. DrWeb wollte nicht in den Anhang, also hier direkt: 9883161.exe;C:\Dokumente und Einstellungen\***-***\Lokale Einstellungen\Temp;Trojan.PWS.Multi.36;Gelöscht.; handlerfix70700en00.exe;C:\Dokumente und Einstellungen\***\Anwendungsdaten\B458437C294B443F56BC55E6CFE57374;Trojan.Siggen2.2812;Nicht desinfizierbar.Verschoben.; ocowi.exe.vir;C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\Owwuo;Trojan.PWS.Panda.509;Gelöscht.; explorer.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS;Win32.Dat.4;Desinfiziert.; upeslxds.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS;Trojan.Packed.20961;Nicht desinfizierbar.Verschoben.; winlogon.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Win32.Dat.4;Desinfiziert.; A0015748.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.; A0015896.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.; A0015921.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Win32.Dat.4;Desinfiziert.; A0015923.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Win32.Dat.4;Desinfiziert.; A0015924.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Panda.509;Gelöscht.; A0015930.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Packed.20961;Nicht desinfizierbar.Verschoben.; A0016957.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Grabber.86;Gelöscht.; A0016958.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Grabber.86;Gelöscht.; A0016959.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.; A0016970.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Siggen2.2812;Nicht desinfizierbar.Verschoben.; drwavaws.dll;C:\WINDOWS;Trojan.PWS.Grabber.86;Gelöscht.; anmef.exe;C:\_OTL\MovedFiles\09282010_104758\c_dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart;Trojan.PWS.Panda.509;Gelöscht.; ocowl.exe;C:\_OTL\MovedFiles\09282010_104758\c_dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart;Trojan.PWS.Panda.509;Gelöscht.; Vielen Dank für Deine Mühe! |
30.09.2010, 08:54 | #6 |
| Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Hi, TDSS-Rootkit und einiges andere... Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Von einem sauberen Rechner aus sofort alle Passwörter (ebay, amazon etc.) ÄNDERN (Passwortgrabber)! Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Superantispyware (SASW): http://www.trojaner-board.de/51871-a...tispyware.html und
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys mv61xx.sys /md5stop c:\windows\system32\drivers\*.sys /lockedfiles c:\windows\system32\*.dll /lockedfiles %systemroot%\*. /mp /s %PROGRAMFILES%\*. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs CREATERESTOREPOINT
chris
__________________ --> Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen Geändert von Chris4You (30.09.2010 um 08:59 Uhr) |
Themen zu Antimalware Doctor, Microsoft Security Essentials Alert - Virus entfernen |
alert, antimaleware doctor, avira, browser, defogger, entfernen, explorer, fehler, firefox, foren, gebraucht, google, google links falsch, infizierte, internet, internet explorer, langsam, logfiles, malwarebytes, microsoft, microsoft security, microsoft security essentials, microsoft security essentials alert entfernen, problem, programme, rkill, security, seiten, spyware, super, system, system care, virus, virus entfernen, warum |