Gema Virus hartnäckig!
 

Liebes Trojaner Team

ich habe mir einen hartnäckigen trojaner eingefangen und zwar den Gema trojaner.urplötzlich startete ein flashplayer auf meinem desktop der dann irgendetwas geladen hat und ich war nicht schnell genug den flashplayer zu beenden.Dann als der flashplayer fertig mit dem laden war hatte ich auf einmal in meinem taskmanager mehrere prozesse die sonst nicht da waren.Als ich die prozesse beenden wollte kamen die immer wieder und auch noch zusätzliche bis mein Rechner streikte. Dann ging garnichts mehr und kurz darauf kam ein Bild Gema ukash mit der Aufforderung 50 EUR zu bezahlen.ich konnte das bild weder wegmachen noch ein anderen Befehl ausführen.Der Rechner war wie eingefroren

Gottseidank habe ich noch einen 2. PC und ich habe mich im Internet über den Gema trojaner informiert.wie man den entfernt usw. dass man den nur mit einer systemwiederherstellung entschärfen kann. oder man erstellt eine kaspersky rescue disk

Beides hat bei mir nicht funktioniert

Bitte um Hilfe

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

• Starte den Rechner neu auf.
• Sobald du den Rechner das erste mal piepen hörst, drücke die F8 Taste. ( Dies kann von System zu System variieren )
• Windows wird dir ein Auswahlmenu geben anstatt sich normal zu starten.
• Wähle hier Abgesicherter Modus und drücke Enter.

Berichte mal, ob das klappt und das Betriebssystem ( inkl 32 oder 64bit Version ) wäre hilfreich.

Hallo Larusso

Deine Anleitung habe ich gelesen,und befolgt

Ich habe den Rechner gestartet. sobald es gepiebt hat habe ich mehrmals die Taste F8 gedrückt.Dann habe ich im darauffolgenden Auswahlmenu den Abgesicherten Modus ausgewählt und enter gedrückt.

jetz kam die windows anmeldung. da habe ich auf ok gedrückt.
und jetzt bekomme ich einen komplett weissen Bildschirm mit einem kleinen text in der oberen linken Ecke angezeigt mit der Aufschrift

Aktion Abgebrochen

Internet Explorer konnte keine Verbindung zu der angeforderten Webseite
herstellen. Möglicherweise ist sie vorübergehend nicht verfügbar.
Versuchen Sie folgendes.......usw

Dann habe ich strg+alt+entf gedrückt.
Dann habe ich auf taskmanager geklickt.der Taskmanager öffnet sich aber nicht

Mein Betriebsystem:
Windows Xp professional,Service Pack 3

Ok,

Bei XP muss ich da über Linux ran. Erstellen wir erstmal nen USB Stick und versuchen davon nur mal zu booten.



Downloade dir bitte Download UNetbootin, Universal Netboot Installer from SourceForge.net & http://noahdfear.net/downloads/boota...xpud-0.9.2.iso auf deinem Desktop.

• Schließe deinen USB Stick an.
• Gehe auf Start > Arbeitsplatz ( Computer ).
  Rechtsklick auf deinen USB Stick --> Formatieren --> Schnellformatierung.
• Starte die unetbootin-xpud-windows-387.exe
• Wähle DiskImage aus.
• KLicke auf die den ... Button und navigiere zu der vorher herunter geladenen xPUD-0.9.2.iso Datei.
• Gehe sicher, dass unter Drive: der Laufwerksbuchstabe deines USB Sticks gewählt ist und klicke OK.
• Dies wird einen bootbaren USB Stick erstellen.
• Das Tool wird dich auffordern, den PC neu zu starten. Dies ist nicht notwendig. Schließe es einfach.

Schließe den USB Stick an den infizierten Rechner an


Starte deinen Rechner neu auf.

• Du wirst sehr früh am Desktop folgendes lesen.
  
  Zitat:

  Press Fx to select boot device

  x steht für eine beliebige Zahl. Drücke diese Taste um in die Boot- Optionen zu gelangen.
• Hier musst du den USB Stick auswählen. Kann jetzt namentlich erwähnt werden oder auch USB-HDD genannt sein.
• Da ist jedes Bios verschieden.
• Wenn alles richtig gemacht wurde, wird xPUD starten.
• Wähle als Sprache bitte Englisch.

Sag mir bescheid, ob sich dein PC davon starten lässt.

Hallo Larusso

Also ich habe die 2 Programme: unetbootin und xpud heruntergeladen und auf meinem Desktop abgespeichert

Danach habe ich deine Anleitung Schritt für Schritt befolgt und durchgearbeitet.

Dann habe ich den USB Stick in meinen infizierten Rechner geteckt und den infizierten Rechner gestartet

Zu Punkt 9: Press Fx to select boot device
Das bekomme ich bei mir nicht angezeigt.

Wenn ich den rechner starte kommt bei mir gleich nach dem start nur: press alt+F2 to enter AWDflash utility.wenn ich alt+F2 drücke kommt aber nur unten am Bildschirm rand ein Text in roter schrift: insert Disk press Enter or ESC to continue Post

Bei mir komme ich über die taste entf ins Bios.Der name meines Bios ist Phoenix-AwardBios.Da kenn ich mich auch ein bisschen aus.Dann habe ich im Bios auf der spalte (Advanced) die Zeile Advanced Bios Features ausgewählt.Und da dann bei der Zeile ( first Boot Device) USB-HDD eingestellt vorher war da floppy gestanden. Dann habe ich den Rechner neugestartet.Aber selbst dann bootet der nicht vom USB-Stick

Also xpud startet bei mir nicht

Kannst du eine CD brennen ?

Hallo Larusso

Ja ich kann eine CD Brennen

Ich habe einen Brenner in meinem Laptop muss mich nur noch mal schlau machen wie das genau funktioniert

Gut.
Downloade dir bitte Ubuntu Live CD 32bit.

Folge Schritt 2 zum erstellen einer Bootbaren CD.


Danach versuch von der CD zu booten.
Wähle Sprache Deutsch und klicke auf Try It


Berichte mal :)

Hallo Larusso

Es klappt
Also ich habe deine Anleitung wie geschrieben befolgt

Als ich die Cd fertig gebrannt hatte habe ich die cd in meinen infizierten Pc eingelegt
und von der Cd gebootet.
Dann hat sich das Programm Ubuntu geladen und geöffnet.
Dann habe ich bei Language die Sprache Deutsch eingestellt und dann auf den Butto Ubuntu ausprobieren geklickt ( try ubuntu).
Dann hat sich das Programm gestartet:Erst kam ein schwarzer Bildschirm mit weisem Text links oben in der ecke ich glaube über mein System.
Jetzt komme ich aber nicht weiter es kommt ein Weisser bildschirm mit einem grauen balken auf der linken seite des bildschirms und einem dünneren grauen balken oben am bildschirm mit einem Briefsymbol,so einem kuchenstück,einem sound zeichen und einer uhr.uhrzeit in PM angezeigt

Ba, dein Rechner macht mich fertig.

Sieht also nicht so aus, wie in der Anleitung unter Punkt 3 ?

Hallo Daniel

Bei mir sieht es genauso aus wie in der ubuntu anleitung unter punkt 3 der Desktop aussieht nur das bei mir alles weiss ist und ich keine desktopsymbole sehen kann.

Wenn ich aber dann am linken Bildschirmrand von oben nach unten langsam mit dem mauscursor entlang fahre dann kommen da Texte wie: Dash home,install ubuntu,home folder,firefox webbrowser,libre office writer usw.
wenn ich jetzt auf z.b dash home klicke dann bekomme ich symbole zu sehen z.b das firefoxwebbrowser symbol,view photos,check email, usw.und oben drüber eine search leiste.
Jetzt habe ich einfach mal ausprobiert ein bischen rum zu klicken.jetzt ist auch der weisse bildschirm weg und der bildschirm ist so lila wie unter punkt 3 der ubuntu anleitung.unten links steht ubuntu 11.10.und ein anmelde button ist zu sehen wo ich einen benutzernamen und ein password eintragen kann

Hilft uns das vieleicht weiter?

Klingt gut.
Ich hab einen Befehl für Linux, wie wir dem Teil die Power nehmen können, muss aber noch versuchen, wie der unter Ubuntu funktioniert.
Bin noch bis 7 auf arbeit, poste dann so schnell als möglich neue Anweisungen :)

Hy Again.

Starte bitte das System mit Ubuntu.

Links Oben auf Orte. Da solltest du deine Systemfestplatte finden ( Nicht System Reserviert )
Doppelklick darauf.

Hier sollten ein paar bekannte Ordner auftauchen. Unter anderem Windows

Klicke auf die Lupe, gib gema.exe ein und drücke Enter.

Lösche jede gefundene Instanz von gema.exe ( Rechtsklick, in den Müll verschieben )

Starte den Rechner wieder ins Windows. Ignoriere aufkommende Fehlermeldungen und berichte

Hallo Daniel

zu punkt 1: meinst du mit starte bitte das system mit ubuntu: try ubuntu?


zu punkt 2:
ich habe jetzt von der cd gebootet und dann auf die sprache deutsch eingestellt und auf ubuntu ausprobieren geklickt.als das ganze fertig geladen hat kam bei mir wieder der weisse bildschirm mit den grauen balken links und oben am bildschirm aber ich finde links oben keine orte und auch nicht meine systemfestplatte.

Mein Bildschirm ist komplett weiss mit den grauen balken links und oben.und dann die symbole,wörter die ich in meiner letzten Antwort aufgezählt hatte.

So, aus jetzt.

Wenn das nicht klappt, gehen mir die Ideen aus


Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Daniel

Super es hat geklappt

Also ich habe alles so wie du mir in der letzen antwort geschrieben hast erledigt,Schritt für Schritt deine Anleitung durchgearbeitet.

Das einzigste was nicht geklappt hat ist als der Scan mit otlpe fertig war hat er mir nur die C:\OTL.Txt aber keine C:\Extras.Txt erstellt.

Ich habe jetzt nur ein problem ich wie kopiere ich die otl.txt datei in meine antwort rein?
ich habe es schon so versucht: im editor auf anhänge geklickt nur steht da das die max. txt grösse nur 97,7kb gross sein darf meine otl.txt ist aber 102kb gross

wie mache ich das ?

Kannst du die log auf 2 Antworten aufteilen ?

Hier sind die log files

Got it.

Ganz interesante Version was du da hast. Werd ich dich dann ein paar Dateien hochladen lassen :D

Melde mich um 8 wieder mit weiterem.
Btw, hast du mit OTLPE Zugriff aufs Internet ?

Ja ich hab zugriff aufs internet mit OTLPE

Das macht die Sache um einiges einfacher.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Starte den Rechner wieder in Windows und berichte obs geklappt hat ( wir sind noch nicht durch )

Hallo Daniel

Also ich habe deine Anleitung Schritt fur Schritt wieder ausgefuehrt

Hier die otl.txt ich hoffe das ist die richtige

Eine Frage gibt es einen Unterschied zwischen OTLPE.exe und OTL.exe

ich habe naemlich den inhalt in die Benutzerdefinierte Scans/fixes Textbox von
OTLPE eingefuegt und dann auf Run fixes

Eine frage noch> kann ich meine Beitraege wieder loeschen wenn ja wie geht das genau.wei das ja vertrauliche daten [ber mein system sind die ich hier gepostet habe

Windows normal starten geht immer noch nicht er bricht dann immer wenn er windows lädt ab

Dafür komme ich jetzt wieder in den Abgesicherten Modus das ist schon mal ein guter Fortschritt den ich durch dich erreicht habe

Geht der abgesicherte Modus mit Netzwerktreibern ?

Ja der abgesicherte modus mit netzwerktreibern funktioniert auch. noch ein fortschritt.
halt stopp funktioniert doch nicht alles ich komme über den abgesicherten modus nicht ins internet


Kannst du mir sagen wie ich beiträge wieder löschen kann ?

Und was sind das für persönliche Details über deinen Rechner ?
Die, welche mehrere Millionen Leute auch haben auf ihren Rechnern ? Nämlich Systemdateien ?

http://www.trojaner-board.de/108422-...-anfragen.html



Nutze bitte einen USB Stick, um die Tools auf den infizierten Rechner zu bekommen.




Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Daniel

hier meine log files

Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehackt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Berichte, ob du wieder in den Normalmodus booten kannst.

hallo daniel

ich habe deine anleitung befolgt
ich habe TDSSkiller.exe gestartet,dann auf scan,dann hat er 5 threats detectet
dann wollte ich über all auf cure machen es geht aber nur bei 2.
Bei den anderen 3 steht nur skip,copy to quarantine,delete

was soll ich machen? kann nicht bei allen cure einstellen

sptd --> Skip
redbook --> Cure oder Skip
FET5X86V --> Delete
db2governor --> Delete
ACPI --> Cure

hallo daniel

hier die log file

Geil ich kann wieder in den normalen modus starten

:daumenhoc

Schöne Ansammlung was du da hast.


[code]

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Daniel

Hier die logfile von combofix

There we go.


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Daniel

Hier die logfiles von OTL.exe

Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall TuneUp Utilities 2006; CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.




Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall µTorrent; BitTorrent.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äusserster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.



Deinstalliere bitte uTorrentBar_DE Toolbar
Diese gehört zu Conduit, welche für ihre "Tracking" Funktionalität bekannt ist.


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Berichte bitte, wie der Rechner läuft.

Hallo Daniel

Habe alles so gemacht wie in der letzten Antwort geschrieben

Hier die log file von ComboFix.exe

Findest du wirklich das CCleaner unnötig ist ?

ICh habe auf jeden fall beides erstmal deinstalliert

Ja, was kann man damit machen, was nicht auch mit Windows internen Mitteln geht ?
Und zum Bereinigen der TempFiles hab ich später ein besseres Tool, welches keine Installation benötigt.




ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich sehe in den Logfiles keine laufende Anti Viren Software.

Das ist gefährlich. Manchmal bemerkt man Malware durch PopUps oder Google-Umleitungen etc, aber meisten läuft diese unbemerkt im Hintergrund. Ein AVP kann Dir helfen, Malware zu finden. Bitte downloade und Installiere Dir eines der folgenden AVPs.

• Avast
• Microsoft Security Essentials

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 31 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.



Starte bitte DDS

• Wenn der Scan fertig ist, wird es 2 Logfiles erstellen. :
  1. DDS.txt
  2. Attach.txt
• Speichere beide auf deinem Desktop und poste diese bitte hier

Berichte ob noch Probleme vorhanden sind

Hallo Daniel

Also ich habe deine Anleitung Schritt für Schritt wieder durchgearbeitet

Es gab ein paar Probleme und zwar
* Als ich das neue Java 6 Update installiert habe.wollte ich die älteren versionen deinstallieren.Ich habe dann Start --> Systemsteuerung-->da steht bei mir aber keine Programme.Dann habe ich auf software geklickt und da finde ich auch keine älteren versionen.
Gitbs noch einen weg die älteren versionen zu deinstallieren?

Ich habe festgestellt das mein Internet extrem langsam ist dann ist mir aufgefallen wenn ich den Firefoxbrowser starte und die yahoo.de startseite lade dann sehe ich unten rechts auf der yahoo.de seite eine grauen balken wo sich ständig wechelnde adressen z.b steam.de,probefahrten.de zanox.de
adn.ebay,usw versuchen mitzuladen.kann das sein dass das internet deshalb so langsam ist?

Ansonsten hat alles gut geklappt

Hier die log files

Hy

Ich würde dich bitten, folgende Dateien nach dieser Anleitung hochzuladen.

C:\_OTL\MovedFiles\04262012_222444\C_Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\7ge3Sr3a.exe
C:\_OTL\MovedFiles\04262012_222444\C_Recycle.Bin\B6232F3A958.exe
C:\_OTL\MovedFiles\04262012_222444\C_WINDOWS\Temp\simhpb\setup.exe


Berichte bitte, ob der Upload geklappt hat :)
Sonst sieht alles gut aus. Noch Probleme ?

Hallo Daniel

*Ich habe vesucht die genannten Dateien nach der anleitung hochzuladen doch das ist fehlgeschlagen. Sobald ich die erste OTL datei hochladen wollte öffnete sich das Antivirenprogramm Avast und hat mich draufhingewiesen das die OTL.....datei maleware ist.jetzt steckt die datei im avast virus container.Soll ich sie widerherstellen und noch mal versuchen mit dem upload

*was ich nicht verstehen kann ESET online scanner hat doch 121 viren entdeckt
und ich sollte ja nicht auf löschen klicken.wie soll da alles wieder gut sein.oder wurden die bereinigt?

*Ich habe in meiner letzten Antwort doch geschrieben das mein Internet extrem langsam ist und das sich immer irgendwelche seiten mit laden wenn ich auf der yahoo.de start seite bin. das ist immernoch so.wenn ich den taskmanager öffne und auf prozesse schaue sehe ich das der plugin container immer so 70-80% ausgelastet ist. der rest ist der firefox mit 10-20% also fast immer 100% auslastung.Das ist doch nicht normal.

*Die seiten bauen sich extrem langsam auf wenn ich im internet bin
irgendwas stimmt da noch nicht

*Mir ist gerade aufgefallen wenn ich an meinem noch infizierten Rechner in die google suche eine seite eingebe dann zeigt mir google falsche ergebnisse an,also nicht die gewünschte seite.wenn ich aber dann an meinem anderen computer das gleiche in die google suche eingebe zeigt er mir die richtigen ergebnisse also die gewünschte seite an?


Vielleicht haben wir was übersehen.
Oder sind wir noch nicht fertig?

Ne geht schon OK.
Hab jetzt eh keine Zeit mir die genauer anzusehen.


Lösche bitte die vorhandene Combofix Version und downloade dir von hier eine neue Version.

Speichere diese auf dem Desktop.
Gehe sicher, dass all deine Anti Virus und anderen Schutzprogramme abgeschalten sind.

Starte Combofix und poste die C:\COmbofix.txt

Hallo Daniel

Hier die log file von ComboFix

Sieht eigentlich OK aus.

Lösche bitte die vorhandene Version von TDSSKiller.exe



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Downloade dir bitte Rogue Killer von hier.

• Speichere das Tool auf deinem Desktop !
• Schließe alle laufenden Programme.
• Starte die RogueKiller.exe
• Warte bis Prescan finished erscheint und klicke dann auf Scan.
• Wenn der Scan beendet wurde, klicke auf Report und poste diesen hier.

http://i121.photobucket.com/albums/o...iller/TRK2.png

Hallo Daniel

Hab wieder alles gemacht wie in der letzten Anleitung beschrieben

Hier die log files

PS: mein Internet ist immer noch sehr langsam besonders beim zocken eines computerspiels hab ich gemerkt dass es manchmal extreme laggt das war vor dem angriff nicht so und beim surfen im internet merk ich es ebenfalls besonders merk ich es wenn ich auf der yahoo startseite bin

Hy,

Die Umleitungen, kommen die in beiden Browsern vor ?

Ich würde dich vorerst einmal bitten, ZoneAlarm zu deinstallieren. Bis jetzt hat das immer geholfen ;)

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\drivers\nwlnknb.sys

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Hallo Daniel

* Zu der Frage mit den Browsern:wenn ich den Internet Explorer Browser starte da bekomme ich die richtigen ergebnisse auf google angezeigt.Das Internet ist auch wesentlich schneller.Aud der Yahoo startseite habe ich auch keine CPU Auslastung von 100% mehr.es gibt aber ja auch keinen plugin-container.
Fazit: keine probleme mit internetexplorer.Nur der firefox ist so CPU ausgelastet
und zeigt mir falsche suchergebnisse bei google an

* ich habe Zonealarm deinstalliert

*zu dem virustotal:das funktioniert nicht wie in deiner Anleitung beschrieben oder mach ich was falsch?

ich habe es so gemacht
1. auf virustotal geklickt
2.auf choose file
3.die datei aus der code-box in die suchleiste kopiert
4. dann auf öffnen geklickt
5.dannn auf scan it geklickt
dann kam :
File already analysed
This file was already analysed by VirusTotal on 2012-05-09 00:06:17.
Detection ratio: 0/42
You can take a look at the last analysis or analyse it again now.
6.dann auf reanalyse geklickt
7.link kopiert und eingefügt
https://www.virustotal.com/file/abe48d3e7d38db20e9d4884fc6fe42fae0c5fafd3ac86f1e585a4bb17c6f09c5/analysis/1336523481/

hoffe ich habe es richtig gemacht

Schon mal ein gutes Zeichen. Jetzt etwas Handarbeit gefragt.

Öffne bitte FF und deaktiviere jedes AddOn.
Starte FF neu und aktiviere der Reihe nach jedes AddOn, bis du die dirbekannten Symptome bemerkst.
Poste mir den Namen des AddOns hier.
Bitte noch nicht deinstallieren

Hallo Daniel

Meinst du das so?

FireFox-->extras-->add-ons

dann steht da bei mir

*addons suchen
*erweiterungen
*Erscheinungsbild
*Plugins

in welchen der ordner soll ich die sachen deaktivieren?

Ich habe die ordner noch mal als win rar datei hoch geladen. vielleicht hilft das weiter

Unter Erweiterungen alles deaktivieren und berichte mal.
Sorry, hätte ich bisschen genauer beschreiben müssen.

Hallo Daniel

ich habe jetzt alles deaktiviert

dann habe ich geschaut ob google immer noch die falschen suchergebnisse anzeigt. Und siehe da alles wieder normal

dann habe ich der reihe nach alles aktiviert.

bis das addon stream_player_addon 0.1 dran kam dann habe ich wieder den FireFox neugestartet und siehe da die google suchergebnisse werden falsch angezeigt. Also scheint dieses addon der übeltäter zu sein.das addon hab ich übrigens 2 mal in erweiterungen drin genau das gleiche.

Also nochmal den genauen namen des addons:

stream_player_addon 0.1
a basic add-on

Aber das beim FireFox der plugincontainer immer noch so ausgelastet ist verstehe ich nicht. wenn ich zb. ein video bei yahoo anschaue dann ist die cpu auslastung
fast immer 100 % und das video laggt wie sau. Da stimmt doch irgendwas nicht? oder wenn ich in mein yahoo email postfach gehe dann dauert das ewig bis ich eine email aufrufen,löschen usw kann.

Hy.

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  C:\Dokumente und Einstellungen\Phillip.PSN\Anwendungsdaten\Mozilla\Firefox\Profiles\96h4otu9.default\extensions\jid1-VZC3jSUSB1KxYw@jetpack

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.



Versuchen wir einmal eine neues Profil für Firefox einzurichten.
Folge dazu bitte dieser Anleitung

Hallo Daniel

ich habe versucht die datei bei virustotal zu überprüfen.ich kann die datei öffen aber die wird dann nicht in die virustotal suche eingefügt weil sich noch weitere dateien, ordner öffen.welche davon soll ich überprüfen ?

so hab ich es gemacht

1.datei aus der codebox kopiert
2.dann auf virus total geklickt
3.dann auf choose file geklickt
4.dann die kopierte datei aus der codebox in die suchleiste eingefügt
und auf öffen geklickt
so hier komme ich jetzt nicht weiter ich kann die datei öffnen aber es öffnen sich weitere dateien,ordner

welche datei soll ich davon überprüfen ?

ich habe dir das als winrar datei hochgeladen
vielleicht kannst du mir sagen was ich bei virus total überprüfen soll

hier die winrar datei

Ein neues Firefoxprofil habe ich auch erstellt.Soll ich das alte löschen?

Mir ist gerade etwas aufgefallen.und zwar im taskmanager unter prozesse ist eine datei die heisst mscorsvw.exe.dann habe ich nach der datei gegoogelt.und es schreiben einige leute dass es wegen der mscorsvw.exe zu cpu auslastung gekommen ist und die datei angeblich nicht gebraucht wird und man die ohne bedenken löschen kann.Ist die datei wichtig ?

Gabs eine Verbesserung ?

Die Details im Anhang seh ich mir am Donnerstag genauer an. Komm da jetzt zwecks Schule nicht dazu.


Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

Hallo Daniel

mit dem neuen profil finde ich es läuft besser aber ich kann es nicht 100 % tig sagen weil manchmal beim videokucken die cpu auslastung wieder bei 100 prozent ist. Ich habe jezt auch eine schnellere Leitung bekommen von 6000 auf 16.000 da muss ja eh vieles schneller sein
deshalb kann ich es nicht genau sagen

Hier die OTL.txt

Hy,
Ehrlich, ich verzweifle hier schön langsam.


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Daniel

Ich habe den Scan durchgeführt aber er hat mich nicht gefragt ob ich mit der aktuellen Version von Avast Scannen will.

Bei mir kam das nur so

1.ich habe die aswMBR.exe gestartet
2.dann in dem Startfenster wo Fix ,Save Log usw steht da steht links unten noch AV und da habe ich auf (none) gestellt.Dann habe ich den Scan Button gedrückt.

Habe ich das so richtig gemacht?

Hier die log file

Okay, dann brauch ich mal mehr details, was für die Auslastung verantwortlich ist.

Downloade dir bitte ProcessMonitor von hier

Entpacke das Archiv auf deinem Desktop, Doppelklick auf die procmon.exe.
Nun versuche dir irgend ein Video anzusehen, suche im ProcessMonitor nach der Datei, die die höchste CPU Auslastung hat.

Oben Links auf File--> Save gehen und speichere diese auf dem Desktop.
Poste diese bitte hier.

Hallo Daniel

Ich hab das jetzt alles so gemacht wie du in der letzten Anleitung geschrieben hasst.

Ich hab den Process Monitor gestartet.da sind jetzt 7 Spalten:Time of Day,Process Name,PID,Operation,Path,Result,Detail.In welcher der Spalten soll ich jetzt die höchste CPU auslastung suchen?

Ich denke es ist die Spalte PID: da hab ich mit dem höchsten wert Process Name: plugin-container.exe PID:3840 aber davon gibt es hunderte dateien und der sucht immer weiter hört garnicht auf. ich habe jetzt mal irgendeine der plugin-container.exe dateien mit dem höchsten cpu auslastung gepostet

die zweit höchste datei ist der firefox.exe PID:3656 aber er sucht ständig unten links im Process Monitor wo steht: showing 270.000 of 570.000 events 56% weiter

Also ich poste jetzt mal die höchste und die zweithöchste cpu auslastung datei von der es jeweils noch hunderte gibt mit dem jeweils gleichen wert

ich habe jetzt file-->save gemacht aber dann hat er alle dateien gespeichert und die lofile ist jetzt 106mb gross die kann ich nicht hochladen

jetzt hab ich dir die als txt.datei hochgeladen so gehts vielleicht kann man da was mit anfangen

Nutzt du immer noch das alte Firefox Profil, mit dem du vorher schon Probleme hattest ?

Hallo Daniel

Hab ich garnicht gemerkt das ich noch das alte profile benutze

Jetzt hab ich das neue gestartet nur meine ganzen lese zeichen sind weg kann man die irgendwie in das neue profile einfügen?

Also jetzt benutze ich das neue

Ich habe jetzt den Test noch mal gemacht mit Process Monitor

Hier die Logfile mit dem höchsten PID wert

aber beim video schauen im internet ist immer noch die cpu fast 100 % ausgelastet über das ganze video.hab auf yahoo.com mir videos angeschaut oder auf gmx.net ist es ähnlich mit der auslastung

Downloade Dir bitte den Internet Explorer 8 von hier und installiere diesen.
Auch wenn dieser nicht dein Standard-Browser ist, sollte sich die aktuelle Version am Rechner befinden. Es gibt noch genug Software die diesen zum Updaten verwendet.


Berichte mal, ob das Problem auch damit auftritt.
Ja, man kann die Lesezeichen übertragen. Aber bevor wir das machen, möchte ich wissen, ob es mit dem IE auch so ist.
Dann müssen wir wahrscheinlich FF neu installieren.

Hallo Daniel

ich hab gerade den internetexplorer installiert.die installation war fast abgeschlossen da kam folgende fehlermeldung

Decomprimierung Fehlgeschlagen
update/iesetup.exe ist keine zulässige Win32-Anwendung.


Ich glaube es hat sich erledigt ich habe jetzt die version win xp 32 bit gedownloadet (IE8-WindowsXP-x86-DEU.exe)
von der seite hxxp://windows.microsoft.com/de-DE/internet-explorer/downloads/ie-8

Versuch ihnneu herunter zu laden. die Fehlermeldung kommt meist von einem fehlerhaften Download

Hallo Daniel

ich habs jetzt mit dem internet explorer 8 versucht

also wenn ich bei yahoo.de ein video anschaue ist meine cpu auch bei fast 100% ca 96% auslastung.dann habe ich versucht ein video bei gmx.net anzuschauen und da war die cpu auslastung nur bei 60-70 %

könnte es auch an yahoo liegen ?

Kommt das bei Youtube videos auch vor

Hallo Daniel ich hatte jetzt erst Zeit um zu antworten

Also bei youtube videos ist das nicht so.da geht während das video läuft die cpu ganz selten mal auf ca 70% und dann sofort wieder runter auf ca 30 %
gemeint ist der plugin-container.
Also kein Vergleich zu yahoo.com videos wo die cpu konstant auf 80-100% ausgelastet ist.

Hy und Sorry, war das Lange WE auf Tour.


Wenn das wirklich nur bei yahoo so ist, dann kann ich es mir ehrlich gesagt nicht erklären.
FF neu installieren wäre einen Versuch wert.
Lesezeichen sichern und wiederherstellen


Wenn getan, poste bitte neue DDS Logfiles und berichte ob sich was geändert hat

Hallo Daniel

was meinst du mit dds logfiles?

soll ich mit dds.exe noch mal einen scan machen und dann die dds logfile posten?

richtig :D

Hallo Daniel

Ich konnte mich nicht eher melden bin sehr viel am lernen

Also ich habe jetzt firefox neu installiert

Hier die log files von dds

Habe jetzt gerade zum test ein video bei mtv anschauen wollen aber das laaagt so extreme und die cpu ist bei 100% auslastung
ich habe nur noch 150mb auf meiner festplatte frei kann es sein dass es damit zusammenhängt das es so langsam ist

ich habe das gleiche video jetzt an meinem laptop angeschaut da laggt es nicht die cpu ist aber auch nur bei 50-70 %
und mein laptop ist auch ein intel core duo 2,00gHz,4 gb ram, also kein vergleich zu meinem rechner

trotzdem weiss ich das vor dem angriff videos nicht so gelaggt haben.vielleicht liegt es wirklich am festplatten speicher oder das avast an ist und firewall standart microsoft an ist???????

:stirn:

Klar liegt es daran. Entmüll mal deinen PC

Hallo Daniel

Ja das müsste ich machen
soll ich defragmentieren,datenträgerbereinigung usw oder

wie kann ich da am besten vorgehen ?

Am besten Software deinstallieren, die du nicht mehr brauchst. Defragmentieren hat eher wenig sinn.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen