System Progressive Protection (Malware) - Entfernung
 

Ich habe mir seit gestern Abend den "System Progressive Protection" eingefangen. Habe nun im abgesicherten Modus den umfangreichen Scan (Vollscan) mit dem aktualisierten Malwarebytes durchlaufen lassen und 17 infizierte Quellen gefunden, jedoch noch nicht gelöscht.

Musste dann heut Morgen zur Arbeit und habe auch schon mal den OTL Scan gestartet, leider kann ich den Log aber erst heut Abend liefern.

Ich wäre trotzdem dankbar, wenn Ihr mir schon vorab eine Hilfestellung geben könntet, wie ich weiter verfahren soll. Und was ich als nächste Schritte durchführen soll?

Beste Grüße aus Hessen



Nachfolgend das Script / Log:

*******************************

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.22.05

Windows Vista Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.6001.18000
xxxxx :: xxxxxxxx-PC [Administrator]

22.10.2012 22:31:51
mbam-log-2012-10-23 (08-05-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|M:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 775157
Laufzeit: 1 Stunde(n), 52 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|1EDC110C43DB8F6100001EDBF23695A5 (Trojan.FakeAlert) -> Daten: C:\ProgramData\1EDC110C43DB8F6100001EDBF23695A5\1EDC110C43DB8F6100001EDBF23695A5.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-18\$76b7121237c98ba546f10e74ef61dc99\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-651249750-224367086-3025743595-1000\$76b7121237c98ba546f10e74ef61dc99\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Keine Aktion durchgeführt.

Infizierte Dateien: 13
C:\ProgramData\1EDC110C43DB8F6100001EDBF23695A5\1EDC110C43DB8F6100001EDBF23695A5.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$76b7121237c98ba546f10e74ef61dc99\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$76b7121237c98ba546f10e74ef61dc99\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$76b7121237c98ba546f10e74ef61dc99\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$76b7121237c98ba546f10e74ef61dc99\U\800000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-21-651249750-224367086-3025743595-1000\$76b7121237c98ba546f10e74ef61dc99\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Local\Temp\msimg32.dll (Rootkit.Access) -> Keine Aktion durchgeführt.
C:\Users\Jonas\Pictures\2008\2008_01_Kanada\01-27.-HalifaxMooseheads\$IMG5757.JPG (Extension.Mismatch) -> Keine Aktion durchgeführt.
M:\Patches&Files\RemoveWGA12.exe (PUP.RemoveWGA) -> Keine Aktion durchgeführt.
M:\Programme\SUPER\SUPER.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
M:\Programme\SUPER\spk\MKV_ax.spk (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\Jonas\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Keine Aktion durchgeführt.

(Ende)

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.


Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: OTL



Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Schritt 3: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.




Schritt 4: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Vielen Dank für deine Antwort Marius. Ich werde wohl erst heut Abend dazu kommen, deine Anweisungen durchzuführen. Ich melde mich dann wieder.

Ich soll demnach auch nicht die gefundenen infizierten Quellen über malwarebytes löschen?

Nachfolgend die einzelnen Logs.

1. Schritt - Defogger:

2. Schritt - OTL: [1. Logfile]


2. Schritt - OTL: [2.Logfile]


3. Schritt - aswMBR

4. Schritt - TDSS-Killer:

Im vierten Schritt wurden keine infizierten Quellen gefunden.
Ich bin sehr gespannt, was die Quintessenz der vier Schritte ist. ;)

Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing-Programme verwendest.

In deinem Fall uTorrent.

Diese Programme erlauben es dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und dies ist auch ein Grund, warum sich Malware so schnell verbreitet.

Es ist also möglich, dass du Dir eine infizierte Datei herunterlädst. Du kannst niemals wissen, woher diese stammt. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.


Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media- und Entertainment-Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service, zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.

Bitte gehe zu Start --> Systemsteuerung --> Software und deinstalliere die oben erwähnte Software.

Bitte gib Bescheid wenn Du eines der gelisteten Programme nicht finden kannst.

Ich wüsste gar nicht wann ich dies zum letzten Mal verwendet habe, ich glaube das "uTorrent" habe ich zwecks Bilder für ne Homepage gebraucht.

Verstehe ich es richtig, dass ich bloß dieses Programm entfernen soll und ansonsten alles wie gewohnt laufen sollte und das "System Progressive Protection" von meinem Rechner weg ist?

Ich habe immer noch malwarebytes mit den gefundenen infizierten Quellen offen, soll ich diese Quellen nun löschen oder ist dies hinfällig?

Nein, weder Malwarebytes noch die Entfernung von uTorrent werden diesen Schädling entfernen. Du hast nämlich das ZeroAccess-Rootkit am System.

Entferne uTorrent und gib mir dann Bescheid, dann gehts weiter!

uTorrent wurde entfernt.
Ich könnte jetzt weitere Anweisungen unsetzen. Vielen Dank schon mal für deine Geduld.

Achso es wäre klasse, wenn Du mich noch kurz darüber aufklären könntest, ob ich die von Malwarebytes gefundenen infizierten Quellen löschen oder einfach das Programm schließen soll?

Ich würde mich über eine heutige Rückmeldung wahnsinnig freuen. ;)

Entferne die Funde mit MBAM und poste das log hier! :)

Dann weiter mit Combofix!


Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Zu erst der Malwarebytes Log. In dem noch mal weitere 5 infizierte Dateien gefunden wurden:


Und nachfolgend der Log von Combofix:

Der letzte Suchlauf über malwarebytes hat keinerlei infizierten Quellen mehr ausgegeben.

Bin bisher nur über den abgesicherten Modus rein, um die Schritte auszuführen. Da ich erst spätabends austesten kann, ob der Rechner normal läuft, wäre es ausgesprochen freundlich von dir mir heute noch zwei Wege (weitere Schritte) für die folgenden möglichen Fälle zukommen zu lassen.

Fall a):
Rechner läuft ganz normal und das System Progressive Protection taucht nicht mehr auf.

Fall b):
System Progressive Protection erscheint immer noch.

a)--------------------------------------------------------------------------------------

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

b)-------------------------------------------------------------------------------------------------



Rogue Killer



Downloade dir bitte Rogue Killer von hier.

• Speichere das Tool auf deinem Desktop !
• Schließe alle laufenden Programme.
• Starte die RogueKiller.exe
• Warte bis Prescan abgeschlossen erscheint und klicke dann auf Scannen.
• Wenn der Scan beendet wurde, klicke auf Bericht und poste diesen hier.
• Du findest die Logdatei RKreport[1].txt auch auf deinem Desktop.

http://i121.photobucket.com/albums/o...iller/TRK2.png