iphone 4 gewonnen, internet explorer ad
 

Guten Tag,

ich habe folgendes Problem:

habe mir wohl irgendwas schädliches eingefangen, das regelmäßig "Herzlichen Glückwunsch, sie haben ein Apple Iphone 4 gewonnen!" in Form einer Meldung sendet und den Internet Explorer (wird nicht benutzt) öffnet, welcher eine ad von gala7 oder billiger.de z.B. beinhaltet.
Habe mit Malwarebytes Anti Malware einiges gefunden und unter Quarantäne gestellt.
FRAUDPACK.GEN oder so stand da.

Anbei die OTL logfiles.

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.

hallo!

ich bin sehr daran interessiert, mit dir zusammen das problem zu lösen! ich werde die genannten punkte befolgen!

vielen dank für deine hilfe! ich habe nun mit malwarebytes anti malware 17 objekte in die quarantäne verschoben, da es noch am scannen war (vor deinem post ;) )

edit: seitdem ist das problem mit den werbe meldungen weg.

mein betriebssystem ist windows 7 64 bit. Aber das kannst du ja glaube ich auch aus den logfiles lesen.

Hallo Lyot,




Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Folgendes interessiert mich:
  
  Zitat:

  Zitat von Lyot (Beitrag 681920) Habe mit Malwarebytes Anti Malware einiges gefunden und unter Quarantäne gestellt. FRAUDPACK.GEN oder so stand da.

  Zitat:

  Zitat von Lyot (Beitrag 681920) ich habe nun mit malwarebytes anti malware 17 objekte in die quarantäne verschoben,

  Alles schön und gut, aber wie soll ich dir effektiv helfen können, wenn du MBAM ausführst, aber das Logfile nicht hier ins Forum kopierst? :)
  Öffne MBAM, klicke auf den Reiter Logdateien und füge alle Logfiles von MBAM mit Funden hier ins Forum ein.
• Was genau willst du mir hiermit sagen?
  
  Zitat:

  [2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!

  Solche Hinweise sind mit Sicherheit nur gut gemeint von dir, aber nicht notwendig. Wir passen schon auf, dass keine persönlichen Daten gelöscht werden. :)
  Was befindet sich denn genau in dem Ordner?
  
  
  Zitat:

  seitdem ist das problem mit den werbe meldungen weg.

  Nur weil keine Symptome mehr vorhanden sind, heißt das noch nicht, dass dein Rechner wieder komplett sauber ist. Aber darum kümmern wir uns ja jetzt. :daumenhoc
  Zu Beginn machen wir nochmal einen neuen Scan mit MBAM, um zu sehen, ob wieder etwas gefunden wird:

Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 5: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen inklusive aller alten Logfiles von MBAM,
• das neue Logfile von MBAM,
• das Logfile von Defogger,
• das Logfile von aswMBR und
• das neue Logfile von OTL.

Hallo,

das sind backup dateien von einem spiel, und ich war in einem kreativen anfall in der namensgebung eben dieser sehr tiefführend :> das ist alles ironisch gemeint.
der name ist auch NICHT auf EUCH bezogen, sondern an die MITNUTZER meines PCs gerichtet :)

Alter MBAM Log:

Neuer MBAM Log:

Protection Log (von MBAM):

defogger Log:

hat das so seine richtigkeit? die meldung "Finished!" kam direkt nach drücken des disable buttons und auch keine aufforderung zum neustart!

die weiteren logfiles folgen, nachdem mir die frage beantwortet wurde, damit ich nichts durcheinander mache oder so.

Hallo Lyot,




Alles klar, danke für die Rückmeldung.



Das hat alles seine Richtigkeit, danke für die bisherigen Logfiles. :)


Ich warte auf aswMBR und das neue Logfile von OTL. :daumenhoc
Achja, OTL wird nur ein Logfile erstellen (OTL.txt)... nicht, dass du vergeblich nach einem 2. Logfile suchst, ein kleiner Fehler in meiner Anleitung von vorhin. ;)

Hallo Lyot,





Schritt # 1: Mehrere Anti-Virus-Programme

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme deinstallieren.
Hinweis:
Aufgrund aktueller Vorkommnisse empfehlen wir Avira nicht mehr: aviras neue partner: uniblue und ask
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.







Schritt # 2: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Hast du aswMBR mit Rechtsklick als Administrator ausgeführt?
• Waren alle anderen Programme geschlossen, als du das Tool ausgeführt hast?
  
  Zitat:

  19:08:58.417 Initialze error C000010E - driver not loaded 19:08:58.608 write error "aswEngin.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

  Wurde eine Fehlermeldung angezeigt?

Schritt # 3: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung für welches AV-Programm du dich entschieden hast,
• die Beantwortung der gestellten Fragen und
• das Logfile von ComboFix.

ich habe mich für microsoft security essentials entschieden.

Hallo Lyot,



hast du Schritt # 1 meines letzten Posts übersehen? :)




Schritt # 1: Mehrere Anti-Virus-Programme

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme deinstallieren.
Hinweis:
Aufgrund aktueller Vorkommnisse empfehlen wir Avira nicht mehr: aviras neue partner: uniblue und ask
Letztendlich liegt die Entscheidung natürlich bei dir.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.





Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\drivers\gvhadszw.sys

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung für welches AV-Programm du dich entschieden hast und
• den Link zum Ergebnis von VirusTotal.

so hallo, ich bin jetzt wach und habe nur microsoft security essenitals am laufen! falls du mir ein besseres kostenloses empfehlen könntest, dann hätt ich gern einen link! :)
ich werde die neuen anweisungen abarbeiten und die ergebnisse hier rein editieren!


schritt 2 kann nicht ausgeführt werden, da die datei nicht gefunden wurde.
in dem ordner sind nur mbamswissarmy.sys und wimmount.sys.

Hallo Lyot,



Wir empfehlen Microsoft Security Essentials und Avast. Da du ersteres besitzt, passt das soweit. :)




Versuche bitte folgendes:




Schritt # 1: Alle Dateien anzeigen
Gehe bitte auf Start -> Computer --> Organisieren --> Ordner und Suchoptionen.
Wechsle auf den Reiter Ansicht.

• Entferne den Haken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner anzeigen

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\drivers\gvhadszw.sys

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• den Link zum Ergebnis von VirusTotal.

Hallo, die Datei gibts immer noch nicht.

Hallo Lyot,




Lösche die vorhandene aswMBR.exe von deinem Rechner.






Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 2: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von aswMBR und
• das neue Logfile von OTL.

Hallo Lyot,






Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Ich denke, wir reden aneinander vorbei. Du sagtest:
  
  Zitat:

  Zitat von Lyot (Beitrag 682224) ... und habe nur microsoft security essenitals am laufen!

  Im aktuellen Logfile von OTL ist Avira immer noch installiert:
  
  Zitat:

  PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

  Daher meine Frage: Wieso ist Avira noch installiert, wenn du dich für Microsoft Security Essentials entschieden hast?
  ( Nur mal zur Info: Start -> Systemsteuerung -> Programme deinstallieren -> Avira auswählen und deinstallieren )
  
• Warum hast du die letzten drei Zeilen des benutzerdefinierten Scans nicht in das Textfeld eingegeben?
  
  Zitat:

  /md5start gvhadszw.sys /md5stop

  Es fehlt nämlich im OTL Logfile. Da du alle anderen Zeilen eingefügt hast, frage ich mich, warum du diese ausgelassen hast?

Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile des OTL-Fix,
• das Logfile von MBAM und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo,

zu antivir: ich hab alle dienste deaktiviert, jedoch kam ich erst jetzt dazu es zu deinstallieren! sollte nun runter sein.

zu dem ausgelassenen code: da habe ich wohl ausversehen beim kopieren die letzten 3 zeilen weg gelassen.. hoffe das war nichts gravierendes.

ich werde die programme nach der schule in ruhe laufen lassen, da ich nur grade pause habe.

danke für die wirklich sehr kompetente hilfe bis hier hin :)


ps: MBAM hat mir grade mitgeteilt, dass der Zugang zu einer potenziell gefährlichen Webseite gestoppt wurde. Art: ausgehend. Port: 8.
grüße

Hallo Lyot,



Naja, es ging dabei um die Datei, die du zum Hochladen bei VirusTotal nicht gefunden hast. Das müssen wir dann eben später noch nachholen.


Poste die Logfiles, sobald du Zeit dazu hast.


Gern geschehen, aber wir sind ja noch nicht fertig. Für gewöhnlich bedankt man sich erst nach getaner Arbeit. :)


Ich brauche die genaue Meldung von MBAM.

sorry, dass es so lang gedauert hat :/ aber hoffe ich hab alles richtig gemacht diesmal :)

Hallo Lyot,






Schritt # 1: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  C:\Windows\System32\drivers\wimmount.sys

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 2: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Nichts und danach den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wie läuft dein Rechner derzeit?
• Meldet MBAM immer noch, dass der Zugang zu einer evtl. potentiellen Website blockiert wird?
  Welche Seite hast du zur Zeit der Meldung aufgerufen?
• Gibt es noch andere Probleme auf deinem Rechner?
• Wirst du bei einer Google Suche auf andere Seiten umgeleitet? Teste bitte mit allen Browsern und berichte.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• den Link zum Ergebnis von VirusTotal,
• das neue Logfile von OTL (OTL.txt) und
• die Beantwortung der gestellten Fragen.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:
Wie läuft dein Rechner derzeit?

Ich habe ca. 2 mal in der Woche einen Freeze, bei dem eine rote LED am An-/Ausknopf leuchtet. Zudem hakt kurz vor dem Freeze der Sound, er wird verzerrt.

Meldet MBAM immer noch, dass der Zugang zu einer evtl. potentiellen Website blockiert wird?

Ja, MBAM meldet immernoch, dass der Zugang blockiert wird. Ca. 3-5 mal am Tag.

Welche Seite hast du zur Zeit der Meldung aufgerufen?

Ein oder zweimal kam die Meldung beim Aufruf einer Pornoseite, da bin ich mir sicher (ist auch irgendwie einleuchtend.) Die anderen Male weiß ich nicht, aber ich werde drauf achten und bescheid geben.

Gibt es noch andere Probleme auf deinem Rechner?

Ja, wenn ich ein Programm per Administrator starten will, muss ich in ca. 40% der Fälle erst den Task Manager öffnen, bevor die Meldung zur Bestätigung kommt.

Wirst du bei einer Google Suche auf andere Seiten umgeleitet? Teste bitte mit allen Browsern und berichte.

Nein, ich habe mehrere Suchen ausgeführt und bei keiner wurde ich umgeleitet. Getestet wurden alle Browser.


Sorry, dass es so lang gedauert hat. War keine Faulheit, hat andere Gründe gehabt. Hoffe du willst noch weitermachen :)

MfG

Hallo Lyot,





Schritt # 1: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Trenne dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter, besonders den deiner Anti-Viren Software.
• Schließe alle offenen Programme.
• Starte die RKUnhookerLE.exe
  Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
• Klicke rechts auf Report und anschließend auf den Scan Button.
• Setze ein Häkchen vor
  • Drivers
  • Stealth Code
  • Code Hooks
• Entferne alle anderen Haken.
• Bestätige mit Ok.
• Wenn Du gefragt wirst, welcher Bereich gescannt werden soll, gehe sicher das dein Systemlaufwerk ( meistens C: ) angehakt ist. Deaktiviere alle anderen Laufwerke. Bestätige wieder mit Ok.
• Das Tool scannt nun deinen Rechner. Hab Geduld.
• Wenn der Scan beendet ist, klicke auf File -> Save Report
• Speichere die Datei als RKU.txt auf deinem Desktop.
• Klicke auf Close und bestätige mit Ja.
• Poste das Logfile mit deiner nächsten Antwort.

Hinweis: Solltest Du folgende Warnung bekommen
Klicke auf OK





Schritt # 2: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von RKU und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

das ist der inhalt des auf dem desktop generierten rku_error_logs, nachdem ich die bestätigung zum starten als admin gegeben habe. das programm lässt sich nicht starten.

Hallo Lyot,


Mein Fehler, tut mir Leid.


Lösche die vorhandene aswMBR.exe von deinem Desktop.




Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 2: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von aswMBR und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo!

Hier die Logs:


Grüße!

Hallo Lyot,




Das muss nicht zwingend von Malware kommen. Sind alle deine Treiber aktuell? Wie lange tritt dieses Problem bereits auf?


Hat sich schon was ergeben? Blockt MBAM auch, wenn du gar nicht im Internet bist oder nur, wenn du dich auf bestimmten Seiten aufhältst?
Wenn MBAM den Zugriff auf derartige Seiten schon blockt, dann empfehle ich dir auch, sie nicht länger aufzusuchen. ;)


Gibt es dabei immer bei den gleichen Programmen Probleme oder nicht?


Öffnet sich der Internet Explorer immer noch von alleine und zeigt gefälschte Werbungen bezüglich eines Iphone 4 an?


In deinen Logfiles finde ich nichts auffälliges mehr. Wir machen noch ein paar Kontrollscans.
Führe bitte zudem ein Firefox-Update durch.






Schritt # 1: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition

• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt # 2: Java deinstallieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Deinstalliere bitte Java(TM) 6 Update 22

Schritt # 3: Wichtige Updates

• Lade dir bitte zudem von hier den Internet Explorer 9 (32 Bit Version) auf deinen Desktop und installiere die neue Version.

Schritt # 4: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Poste nun den Inhalt der log.txt.





Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von SAS,
• das Logfile des ESET Online Scanners und
• das Logfile von SecurityCheck.

Hallo M-K-D-B,


Das Problem habe ich schon länger, ca. ein halbes bis dreiviertel Jahr. Ich muss dazu sagen, dass mein aktueller PC mein erster selbst zusammengebauter PC ist. Deshalb schließe ich Konstruktionsfehler nicht aus, bin mir aber sehr sicher, keine Fehler gemacht zu haben, da ich nach Anleitung überprüft habe. Ich werde den PC nach Möglichkeit in naher Zukunft dem PC Fachmann meines Vertrauens übergeben, damit dieser ihn daraufhin mal durchcheckt. Vielleicht ists ja auch ein Defekt an irgendeinem Teil, RAM oder so. Mal schaun ;) Ob meine Treiber aktuell sind, kann ich dir so nicht sagen. Ich habe mir auf jeden Fall die aktuellen Treiber / aktuelle Treibersoftware damals heruntergeladen. Ich werde dies morgen überprüfen. Hierzu einfach auf der Herstellerseite die aktuelle Version herunterladen? Ich habe gehört, dass ein "drüber"installieren über die alten Treiber zu Problemen führen kann. Wie kann ich die alten Treiber zuverlässig und ohne "Rückstände" entfernen, damit eine problemlose Installation und Nutzung der neuen (aktuelleren) Treiber nicht gefährdet ist?



Seitdem habe ich keine Meldung bezüglich einer Blockung mehr erhalten. MBAM hat auch schon geblockt, als ich nicht im Internet war. Warum bauen Viren Verbindungen zu fremden Servern auf und ist das bei mir eine der Möglichkeiten? Ich war seit ca. 2 Tagen nichtmehr auf betreffenden Seiten, spätestens seitdem hat MBAM nichtsmehr geblockt.



Ich habe das Problem bisher nur bei "World of Tanks", einem PC Spiel, erlebt. Kann das an der .exe an sich liegen oder eher an meinem System? Ich werde auch dies beobachten und berichten, falls das Problem auch bei anderen Programmen auftritt.



Der Internet Explorer hat sich seit Tagen nichtmehr von alleine geöffnet, dieses Problem und auch die Werbemeldung auf dem Desktop scheint mir behoben.



Ich habe auf C: 2 Dateiordner mit einem Schloss beim Icon (geschützter Ordner?) gefunden.


Was sind das für Ordner und Dateien? Wie soll ich damit weiter verfahren? Kommt mir irgendwie suspekt vor.








PS: Grade beim Starten von Security Check kam das Problem mit dem Task Manager, den ich starten muss, bevor die Meldung zur Bestätigung kommt!


PPS: Ich habe gerade im letzten Logfile meiner Antwort gesehen, dass immernoch der Internet Explorer 8 installiert ist. Ich habe aber gestern den Internet Explorer 9 inklusive Neustart installiert. Wie kann das sein?

Zudem kam grade beim Öffnen des Internet Explorers von MBAM sofort die Meldung, dass der Zugang zu einer potentiell gefährlichen Webseite geblockt wurde. Hier das Logfile:

PPPS:

Habe den Firefox runtergeschmissen, da ich ihn eh nicht brauche. Kann ich dies auch mit dem Internet Explorer machen? Wenn ja, wie?


MfG

Hallo Lyot,



Wenn wir mit der Bereinigung fertig sind, kannst du gerne ein neues Thema in einem passenden Unterforum dazu aufmachen. Hier kümmern wir uns nur um Malware. Es gibt Mitglieder im Team, die kennen sich wesentlich besser mit Treiber aus als ich. ;)


Das wird wohl das Beste sein. ;)


Google hat oft Recht. Es sind in der Tat Installationsreste. Die musst du nicht weiter beachten. Eventuell werden diese bei der Deinstallation unserer Tools mit entfernt.


SecurityCheck zeigt hier fälschlicherweise den IE 8 an. Wenn du den IE 9 installiert hast, dann passt das schon so.


Auch wenn du nur Google Chrome verwenden möchtest, empfehle ich dir, den IE 9 noch installiert zu lassen. z. B. für den Fall, das Google Chrome einmal nicht funktionieren sollte. Zudem gibt es andere Programme bzw. Tools, die sich über den IE updaten.


Hierbei handelt es sich wohl um einen Fehlalarm von MBAM. Die IP weist auf einen Server für das Tool QIP Internet Guardian hin, den du ja auf deinem Rechner installiert hast.


Diese beiden Dateien bitte von Hand löschen:

Ist das hier eine Originaldatei?
Laut ESET handelt es sich hierbei wahrscheinlich um einen Trojaner.

Zur Kontrolle könntest du die Datei einmal bei VirusTotal hochladen. Wenn dort mehrere Scanner anschlagen, dann solltest du die Datei löschen!


Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  C:\Program Files (x86)\Activision\Empires Dawn of the Modern World\EDMW_ResSet.exe

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

• Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
• Möchtest Du ESET denoch deinstallieren:
  Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
  
  Code:

  ---

  "%ProgramFiles(X86)%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

  ---

• Drücke OK.

Schritt # 5: Adobe Flash Player aktualisieren

• Lade dir die neuste Version des Flash Players von Adobe herunter.
• Deaktiviere den Haken vor Google Chrome bzw. McAfee Security Scan.
• Installiere die neuste Version auf deinem Computer.

Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code:

  ---

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

  ---

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.
• Vergewissere dich, dass du insbesondere das Service Pack 1 installierst.

Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks oder andere illegale Software!
• Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Hallo,

ich wollte den Online Secunia Inspector nutzen, jedoch steht unten "Loading Java Applet Try 1/50.
Das zählt dann bis 50/50 hoch und wenn ich dann auf Start drücke passiert nichts.
Liegt wohl an Java auf meinem Rechner.
Wie fix ich das?

Ansonsten hab ich keine Fragen und bedanke mich für die Hilfe!

MfG!

EDIT: Schon gut, ich musste erst oben bestätigen, dass es ausgeführt werden soll!

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.