Security Alert, logfile geht nicht!!!
 

Hallo, brauche dringend eure Hilfe!

Ich habe seit heute einen Security Alert. Kann leider keine logfile erstellen, da sich mein Malware Programm nicht öffnen lässt. Habe auch schon über den link hier im Forum versucht die CCleaner + Malwarebytes-Anti-Malware herunterzuladen. Bei download:mbam-setup.exe bringt er die Meldung: Dateidownload-Sicherheitswarnung. ich klicke auf ausführen, das funktioniert auch noch, dann kommt die Meldung:Internet Explorer-Sicherheitswarnung, wenn ich dann auf ausführen klicke, geht das Feld wieder weg und das wars. Dies hab ich heute schon ein paar mal so erlebt, als ich Anti-Virenprogramm vom Internet herunterladen wollte. Kann mir bitte jemand helfen wie ich 1. zu einer logfile und 2. diesen Security Alert weg bekomme?
Das wäre ganz arg nett.

Grüße Stefanie

Hi Stefanie

Hast du es mal mit einem anderen Browser versucht? Mit Firefox z.B?
Welches Betriebssystem benutzt du? XP? Vista? Win7?

Hallo,
nein hab ich nicht.
Mein Betriebssystem ist windows XP.
Weiß absolut nicht mehr weiter!
Gruß

Dann versuche es bitte jetzt :)

Ähm, und nicht, dass wir uns jetzt falsch verstehen. Mit "versuchen" meine ich - versuche mit einem anderem Browser Malwarebytes etc. herunterzuladen...:o

Kann keinerlei Software herunterladen, es tritt immer ein Fehler auf, entweder eine Sicherheitswarnung oder Pfad nicht gefunden. Sorry , war zu schnell, kenn mich nicht so gut aus, wie geht das mit dem Browser?

Versuch mal folgendes

Windows + R Taste drücken --> notepad (reinschreiben) --> OK
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter service.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Bei Codierung bitte ANSI auswählen.
Doppelklick auf die service.bat

Es sollte sich ein Fenster öffnen, bitte den Inhalt posten.

ok das hab ich gemacht, aber leider ohne Erfolg. Es öffnet sich zwar das Fenster kann auch notepad reinschreiben, aber sobald ich ok drücke verschwindet das Fenster wieder und es passiert gar nix.

Ok, ich habe die service.bat als Anhang zu meinem Post beigefügt. Speichere sie bitte auf dem Desktop -> Doppelklick

Edit: Hoffentlich geht das jetzt mit dem Speichern...

Alternativ versuche notepad manuell zu öffnen:
Start-> Alle Programme -> Zubehör -> Editor

WordPad tuts auch, beim Abspeicher dann aber Dateityp: Textdokument MS-DOS Format auswählen, Abfrage bestätigen.

1. service.bat - Fenster öffnet sich - Sicherheitswarnung - (trotzdem) Ausführen - Fenster schließt und es passiert nichts.

2. Alternativ: Bis Editor geht alles, dann kurz die Sanduhr sichtbar, das wars dann auch schon wieder.

Ist das was größeres? Bitte, bitte nicht.

Hum, kann man jetzt noch schlecht sagen, ob's was größeres ist.

Wie sieht's aus mit WordPad? Kannst du den öffnen?

WordPad geht auch nicht.

Hy, kannst du bitte folgendes versuchen.

Downloade Dir Grinler's rKill.
Speichere es auf deinem Desktop. Doppelklick auf die rkill.com.

Dies wird eine weile dauern. Wenn rkill fertig ist, wird sic das schwarze Fenster schließen.
Den Computer nicht neu starten.
Versuche nun Malwarebytes zu installieren bzw falls vorhanden, auszuführen. quickscan reicht. Lösche alles was gefunden wird.

Fenster erscheint, Dateidownload-Sicherheitswarnung, klicke Ausführen, dann erscheint ein neues Fenster, Internet Explorer-Sicherheitswarnung, klicke auf Ausführen, Fenster schließt und es passiert nichts.

Bitte einmal unter C:\Programme nachsehen, ob sich darin ein Ordner, der sich Security tool oder ähnlich nennt, befindet. Es könnte auch sein, das der Ordner aus einer unsinnige Kombintation von Zahlen besteht. Teile mir bitte mit ob du soetwas findest.

hab einen Ordner gefunden der heißt: Privacy center.

Teamarbeit :)

Versuche bitte, im abgesicherten Modus mit Netzwerkunterstützung zu starten (während des Bootvorgangs F8 drücken), und den Ordner zu löschen. Probiere auch aus, ob es dort mit dem Download klappt.

1.
Mir ist soeben im Laufwerk C etwas aufgefallen: Dieser Ordner namens Privacy center ist ein Word Dokument. Hab mal nachgeprüft ob ich meine Word Dokumente öffnen kann, das geht nicht, musik auch nicht mehr, sch...
Bilder kann ich problemlos öffnen.

2.
Hab nochmal versucht ne Software herunterzuladen.
Meldung:
C:\Documents and Settings\***\local Settings\Temporary Internet Files\Content.IE5\CF92X...

Was könnte das sein?!

Meldung vom... ? Security Alert?

Versuche bitte trotzdem in den abgesicherten Modus zu kommen.

Kenn mich nicht so gut aus, was soll ich jetzt genau machen, möchte keine Fehler machen?

Starte deinen PC neu, und während es noch hochläuft, musst du die F8 Taste drücken. Dann sollte eine Auswahl kommen, wähle Abgesicherter Modus mit Netzwerkunterstützung. Wenn es klappt, wird Windows in diesem Modus gestartet, dann kannst du versuchen, Mawarebytes herunterzuladen und auszuführen.

Hallo,
ok das hab ich versucht.
Das Problem ist nur, nachdem ich die F8 Taste gedrückt hab erscheinen auf dem schwarzen Hintergrund viele kleine weiße Senkrechtpunkte. Kann leider nur vereinzelt ein paar Wöter lesen. (Punkte und Striche erscheinen beim hochfahren schon lange; grüne Striche/Punkte auf Windowshintergrund, hat mich aber nie gestört)
Hoffentlich bekommen wir das wieder hin!!!

save mode with networking, ist das das Richtige?
Kann es sehr schlecht lesen,
vor lauter.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Werde es dann mal versuchen.
Tschüss, bis bald ;o)

Hum, Sachen gibt's...

Langsam wird's eng. Versuche bitte die Systemwiederherstellung:
Start -> Alle Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung

Versuche damit, dein System zu einem früheren Zeitpunkt wiederherzustellen (wähle einen, als es noch funktioniert hat). Hier ist eine Anleitung dazu.

Edit: Ups, ja, ist das Richtige :)

ok, das hat jetzt mal geklappt. Komplettscann hat problemlos funktioniert.
Meldung: Keine infizierten Objekte gefunden.

Systemwiederherstellung klappt nicht wenn ich den Rechner normal hochfahre (kann nicht geöffnet werden).
Kann ich das auch im abgesicherter Modus mit Netzwerkunterstützung durchführen?

Gute Nacht, und ich hoffe bis bald.

Hallo,

geht eine Systemwiederherstellung auch im abgesicherter Modus mit Netzwerkunterstützung, dann würde ich das mal probieren?

Kann mir bitte jemand weiterhelfen?

Kannst du auch probieren, kann aber sein, dass einfach nicht genug Speicherplatz zur Verfügung steht.

Hast du bei Malwarebytes auch ein Update gemacht?

Ok, jetzt bitte die Logs von RSIT im abgesicherten Modus.

Hi, supi daß du wieder da bist, danke!

Update v. Malware leider vergessen, hoppala.
Also ich versuch das dann mal mit RSIT.
Es kann ne Weile dauern, da mein Rechner keine Druckerverbindung herstellen kann. Muss mir die wichtigsten Punkte aus der Anleitung erst Mal rausschreiben.

Bis später, und wünsch mir gutess Gelingen!

Hier mal die logfile.
Hoffentlich nichts Schlimmes...

Ich versuchs nochmal, Anhang?

Wenn man die Antwort schreibt, ist unten "Anhänge verwalten". Dort sollte es klappen :)

Jetzt müsste Anhang dabei sein.

Ok, lösche bitte im abgesicherten Modus folgende Dateien von Hand:

Lösche bitte außerdem komplett die Ordner

Nachdem das geschafft ist, starte bitte wieder normal, berichte, ob's besser geworden ist, und poste einen neuen Malwarebytes Log nach Anleitung. Schließe beim Scan alles an (USB-Sticks, ext. Festplatten usw.) Halte beim Anschließen die shift-Taste gedrückt, um die Autorun-Funktion auszuschalten.
Update nicht vergessen ;)

Gut, muss jetzt weg.

Werde in ca. 1 Std. die Dateien löschen und poste die neue logfile.

Tschüss bis nachher.

Im abgesicherten Modus:

C:\WINDOWS\system32\ssqPjkjG.dll (Datei ist nicht vorhanden)
C:\WINDOWS\system32\win32extension.dll (Datei gelöscht)
C:\Program Files\PersonalSec (Komplettordner gelöscht)
C:\Program Files\Common Files\PersonalSecUninstall (Komplettordner gelöscht)

-> Neustart im normalen Modus:

-Rechner wieder viel schneller
-Programmme können wieder geöffnet und gestartet werden
-keine Fehlermeldungen mehr (Personal Security)

Das hört sich doch schon mal gut an, oder?

-Striche + Punkte beim Hochfahren des Rechners noch da, gehen aber sobald er hochgefahren ist wieder weg. (Ist wahrscheinlich ein anderes Problem, da schon längere Zeit so)

Update Malware erfolgreich durchgeführt. ;-)

Beim Scan alles anschließen, USB, ...?
Habe in der Family mind. 5 USB Sticks, die schon Monate nicht mehr angeschlossen waren. Können sich da nicht Viren übertragen (falls vorhanden)?

Bitte um kurze Rückmeldung, werde dann auch den Scan starten.

Danke, und bis später.

Jepp. :)

Ja, hat wahrscheinlich etwas mit der Grafikkarte zu tun.

Beim Anschließen die shift-Taste gedrückt halten, damit wird die Autorun-Funktion ausgeschaltet, und dann sollte eigentlich nichts passieren.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.01.2010 19:04:17
mbam-log-2010-01-17 (19-04-17).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 227003
Laufzeit: 1 hour(s), 24 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PersonalSec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\personalsec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Documents and Settings\***\Application Data\Privacy center (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\keys (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\temp (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Start Menu\Programs\Privacy center (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Documents and Settings\***\Application Data\Privacy center\dbases\cg.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases\mw.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases\rd.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases\sc.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases\sm.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\dbases\sp.dat (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\keys\cg.key (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\keys\rd.key (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\keys\sc.key (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\keys\sp.key (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\temp\settings.ini (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Application Data\Privacy center\temp\spfilter (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Start Menu\Programs\Privacy center\Privacy center.lnk (Rogue.PrivacyCenter) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

Schön. Jetzt bitte einmal GMER nach Anleitung.

Guten Morgen,

habe GMER heruntergeladen. Habe noch ein paar Fragen bevor ich den Scan starte.

1. Wie deaktiviere ich mein Symantec AntiVirus und mein Malwarebytes Anti-Malware Programm?
2. Alle Programme schließen und Internet Verbindung (WLAN Router ausschalten) ist klar. Muss ich sonst noch etwas beachten?
3. Wie lange kann der Scan ungefähr dauern?

Vielen Dank.

Moin :)

Versuch's mal hiermit. Ich hoffe, ich hab jetzt die richtige Anleitung erwischt.

Falls du immer noch die kostenlose "Free-Version" verwendest, wovon ich jetzt mal ausgehe, muss dort nichts deaktiviert werden.

Am besten nichts am PC machen, aber steht eigentlich schon alles Wichtige in der Anleitung.

Das ist leider unterschiedlich. Von einer Stunde und weniger bis zu 4-5 Stunden ist alles möglich. Wenn GMER aber sagen wir mal nach 4 Stunden immer noch nicht fertig sein sollte, bitte den Scan abbrechen und berichten.

Gut,
habe Anleitung zum Deaktivieren von Symantec AntiVirus gelesen, wenn ich es so mache wie beschrieben:
Rechter Mausklick auf Symbol in der Leiste kann ich nur
"open Symantec AntiVirus" auswählen.
Wenn ich das mache öffnet sich das Symantec AntiVirus Fenster wo ich aber nur "Live update" anklicken kann.
Wie kann ich prüfen, ob es schon deaktiviert ist?
Sorry, für die vielen Fragen.

Hm, war wohl doch nicht die richtige Anleitung. Versuch mal folgendes:

Start -> Ausführen -> msconfig eintippen -> Systemstart

Ist dort ein Eintrag namens Symantec Antivirus oder ähnlich zu sehen? Wenn ja - Häkchen weg -> Neustart. Das sollte deinen Symantec schlafen legen.

Wenn nein, starte GMER bitte trotzdem, muss es halt so gehen.

Hab leider nichts namens Symantec Antivirus oder ähnliches gefunden.
Also, dann beende ich mal alles und mach den Scan.

Tschüssi, bis nachher.

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2010-01-18 13:56:35
Windows 5.1.2600 Service Pack 2
Running: g47hxpwc.exe; Driver: C:\DOCUME~1\***\LOCALS~1\Temp\fgkiifod.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

Der Scan ging sehr schnell, nur ein paar Sekunden.
Hab genau nach Anleitung Scan ausgeführt.

Was ich nicht versteh:

Rechner ist nach Scan total langsam geworden, bis dahin, daß gar nichts mehr ging.
Es half nur noch Stecker ziehen!
Jetzt, nach hochfahren verhält er sich wieder ganz normal.

Hab ich nen Fehler gemacht, kannst du das am Scan sehen?

Hast du auch auf Scan gedrückt, oder GMER nur gestartet?

Ja.
1. Scan
2. Copy
3. OK (GMER beenden)

Dann wurde Rechner langsam.

Hat GMER denn irgendetwas gemacht, nachdem Scan gedrückt wurde, oder passierte gar nichts?

Ansonsten vesuchen wir einen anderen:

Rootkitscan mit RootRepeal

- Lade den Scanner hier herunter:
RootRepeal - RootRepeal - Rootkit Detector
- scrolle runter und downloade RootRepeal.zip.
- Trenne deinen Computer vom Internet
- Deaktiviere dein Firewall und Antivirenprogramm
- Entpacke die Datei auf Deinen Desktop.
- Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
- Klicke auf den Reiter Report und dann auf den Button Scan.
- Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
- Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
- Wähle C:\ und klicke wieder Ok.
- Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
- Bitte wärend des Scans nicht am Computer arbeiten!
- Wenn der Suchlauf beendet ist, klicke auf Save Report.
- Speichere das Logfile als RootRepeal.txt auf dem Desktop.
- Kopiere den Inhalt hier in den Thread.
- Aktiviere Antivirenprogramm wieder.

Hallo,

bis gerade (ca. 3Std.) Scan gelaufen.
Dann hat sich Fenster mit folgender Meldung geöffnet:

C:\DOCUME~1\***\LOCALS~1\Temp\WERa805.dir00\Mini011810-01.dmp
C:\DOCUME~1\***\LOCALS~1\Temp\WERa805.dir00\sysdata.xml

Kannst Du damit was anfangen?

Soll ich RootRepeal - RootRepeal - Rootkit Detector herunterladen?

Danke.

OK.

Werde jetzt RootRepeal.exe starten.
Habe gerade heruntergeladen.

Danke, bis später

Steffi

Scan von GMER? Was ist nach der Meldung passiert? Absturz? War zu erkennen, von welchem Programm die Meldung kam?

Jepp, versuche RootRepeal.

Hallo,

Scan von GMER?
Wurde nicht fertiggestellt, da diese Meldung kam.

Was ist nach der Meldung passiert?
Habe sie einfach weggeklickt, danach war das Scan-Fenster weg.

Absturz?
Nein, konnte Rechner ganz normal bedienen, keine Veränderung festgestellt.

War zu erkennen, von welchem Programm die Meldung kam?
Keine Ahnung.

Jepp, versuche RootRepeal...

Kann meine Firewall nicht deaktivieren.
Ich kann zwar Firewall Fenster öffnen, kann aber nichts verändern.
Hab ich evtl. keine Berechtigung, da nur lokaler Admin.?

Trotzdem (Firewall aktiv) RootRepeal starten?

Lokaler Admin? Ist es ein Bürorechner?

Jepp.

Ja, ist es.
OK ich starte.

:balla: Argh. Wieso wendest du dich dann nicht an eure EDV-Abteilung? Die sind dafür zuständig. Bürorechner werden hier nicht bereinigt. Wer soll denn haften, wenn bei der Bereinigung was schief läuft und wir den Rechner schrotten? Kann jederzeit passieren.

Wende dich bitte an die zuständigen Leute bei deiner Firma, zeige ihnen am besten auch dieses Thread, damit sie wissen, was bisher gemacht wurde.