Trojaner-Board - Virus durch AVCare

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus durch AVCare (https://www.trojaner-board.de/76526-virus-avcare.html)

Bitte tue exakt das, was ich hier schreibe. Starte keine anderen Programme, lade nichts runter. Ansonsten stelle ich den Support ein.

ciao, andreas

okay, bin ja schon brav...

soo, also hier der report von avenger.

OK. Jetzt nochmal ComboFix. Das schlimmste hast du gleich hinter dir. Dann kommt auch Malwarebytes noch an die Reihe. :)

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

gusvc

gupdate1c97c06138a10a

aawservice

PciCon

Bonjour Service

UxTuneUp

vsmon

vsdatant
 

NetSvc::

UxTuneUp
 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-

"QuickTime Task"=-

"ZoneAlarm Client"=-

"nwiz"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Programme\\ICQ6\\ICQ.exe"=-

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
 

Folder::

C:\avenger

C:\rsit

c:\programme\Bonjour
 

FixCset::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

also dann - anbei das log von combifix und ich starte schon mal malwarebytes - juchhu, endlich ;)

tausend dank schonmal bis hierher ^^

Nein, noch nicht.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => Ok

5.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

6.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

hier der report von lop s&d
suche war übrigens option 1...

und hier noch der link zur Qoobox.rar :
http://rapidshare.com/files/268857865/Qoobox.rar.html

sry, hab vergessen den report anzuhängen...

Zitat:

suche war übrigens option 1...

Ja, du musst es aber mit 2 laufen lassen. Deine hosts-Datei muss neu geschrieben werden, die hat der Schädling geändert. Du brauchst dazu Adminrechte.

Kennst du den Ordner

Zitat:

C:\DOKUME~1\ALLUSE~1\ANWEND~1\Memo save stupid creative

Bitte nochmal mit 2 laufen lassen und Log posten.

ciao, andreas

okay, hier jetzt der neue report

den von dir erwähnten ordner kenn ich übrigens nich - is mir neu...

Sieht so aus, als hättest du Lop gehabt aber dein Antivirenprogramm hat schon zugeschlagen, aber wieder nur halbe Arbeit gemacht. Jetzt bist du die Reste auch noch los. Jetzt endlich dein geliebtes Malwarebytes. :)

Läuft es wieder?

ciao, andreas

alles klar - malwarebytes läuft grade...
dürfte ne ganze weile dauern.

also, ist das gröbste schon mal beseitigt !? :)
denkst du, dass man ihn nach dem durchlauf von malwarebytes wieder benutzen kann oder hast du noch ein paar schritte !?

ich will nich stressen - ich frag nur, weil der durchlauf wohl ne weile dauert und ich gern wissen möchte, wie der weitere plan ist ;)

Du hast dich zum Glück frühzeitig gemeldet. Normalerweise laden die Unmengen nach. Wenn die Leute hier nach einem Monat erst aufschlagen, dann ist es fast unmöglich alles zu finden. Nach Malwarebytes kommt Gmer, Rootrepeal, SuperAntiSpyware, Panda Active Scan, Kaspersky Online Scanner, PrevxCSI.

Dann wird noch deine Software auf den aktuellen Stand gebracht und dein HJT-Log aufgeräumt. Dann sind wir durch.

ciao, andreas

okay, dann ziehen wir mal durch !

...ähm, wenn malwarebytes endlich fertig is ^^

Ich weiß schon, warum ich dir den Link zum anderen Fall gegeben habe. Du siehst, das ist das gleiche Programm. Neuaufsetzen ist immer schneller bei diesen fiesen Rootkits. Du scheinst einiges an Software zu haben, die Scanner werden Ewigkeiten brauchen. :)

ciao, andreas