Security Tool geht nicht zu löschen ! Alles bekannte probiert.
 

Hallo.

Ich habe euer Tutorial für das entfernen von Security Tool gelesen und befolgt. Das erste mal hat es wunderbar funktioniert. Aber nach 1-2 Wochen, war das tolle Tool wieder da =(
Jetzt bekomme ich es aber nicht mehr weg ...

Jede Version die ich von rkill gefunden habe hat das tool nicht beendet. rkill.com rkill.src rkill.exe .... auch umbenannt habe ich sie.
Im Abgesicherten Modus läuft jetzt zum zweiten Mal "Malwarebytes". Es werden die Trojaner gefunden und gelöscht, nach neustart aber wieder a´beim alten =(

CCleaner hab ich alle auch ausgeführt finde aber grad ads LOG file nicht.


Also poste ich jetzt mal mein LogFile:
RSIT: ( ist da HiJack mit dabei ? )

RSIT Logfile:
--- --- ---

LogFile des letztens Malwarbytes durchlauf:

und von dem davor:

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Gmer ist geeignet für => NT/W2K/XP/VISTA (nur 32Bit).
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

ahja, okay danke =)

aber ich kann OTL nicht starten! Security Tool sperrt dieses sofort ...

Schritt 1

Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

Schritt 2

Versuche bitte einmal OTL.exe auf dem Desktop in Sommer.com umzubenenne (rechtsklick auf otl.exe --> umbenennen)

Falls dies auch nichts hilft dann gehe zu Schritt 3.

Schritt 3

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Geht es so mit OTL?

ja im abgesicherten Modus gings. Die Idee hatte ich dann auch ;-)

LogFile von OTL:
UND EXTRA.LOG
und gleich kommt der gmer Log ...

Schritt 1

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

Schritt 2

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 3

Hast Du inzwischen wieder mit Malwarebytes gescannt? Einen fullscan? Poste mir das Log. Wenn nicht, dann führe den Scan noch aus.

Security Tool geht nicht zu löschen ! Alles bekannte probiert.
 

aaaha. okay dann installier ich mal java und so neu.

Aber hier noch mein GMER-Log:
Jetzt habe ich java deinstalliert. Kann es aber nicht neu installieren, da das security tool die installation abbricht !

... und jetzt ?

Was bringen die scans die ich gemacht habe ? Die löschen ja nix, oder !?!?

Ich gehe davon aus sie mir was bringen. Sonst würde ich sie nicht sehen wollen.

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Guden.

Ich kann auch Combo-Fix nicht starten, nur im Abgesicherten Modus. Wenn ich das da machen will, geht das zwar, aber das Tool meckert, das Antivir noch aktiv ist. Dachte eigentlich das Antivir im A-Modus nicht aktiv sein KANN !?!?
Den Prozess kann ich nicht beenden, da er nicht im Task-Manager vorhanden ist.
(avguard und sched) ... net stop avguard.exe hat auch keine Wirkung.

Kann ich den ComboFix trotzdem starten ? ComboFix beschwert sich 2 mal vorm starten deswegen. Also habe ich den abggebrochen ...

Schritt 1

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Schritt 2

Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

• Mirror 1
• Mirror 2
• Mirror 3
• Mirror 4

und speichere die Datei auf dem Desktop.

• Deaktiviere deine Anti- Viren- Software.
• Starte das Tool mit Doppelklick
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
• Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen das es läuft.
• Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt 3

Wechsle wieder in den Normalmodus und versuche Combofix nun auszuführen.

Morgen =)

Dein letzten Beitrag versteh ich nicht. habe ihn zwar gemacht, ohne erfolg ....

Warum muss ich im A-Modus den rkill ausführen um dann im normalen Modus den ComboFix auszuführen ?! Sollte ich den ComboFix eher im A-Modus ausführen oder ?

Habe ich versucht. Also rkill und dann ComboFix im A-Modus, aber Antivir ist immer noch nicht beendet, laut ComboFix ...

Soll ich ihn trotzdem ausführen ? Was macht ComboFix eigentlich ?

Du musst einfach genau das machen was in der Anleitung steht :)
Also in den abgesicherten Modus und dann rkill anwednen. Danach wieder in den Normalmodus und Malwarebytes anwenden. Ich habe im letzten Post nichts geschrieben von Combofix.

Was die Programme machen kann ich Dir auch Zeitgründen nicht erklären. Nur soviel, dass Combofix eines der stärksten Tool ist welche sich tief in das System eingräbt um Malware zu finden. Aber wie gesagt es ist stark und deshlab auch gefährlich.

hmm .. okay.
ich dachte ich muss den letzten schritt machen um den vorletzten durchführen zu können ! versteh auch nicht warum die im abgesichterten modus die beendeten programme dann bei nem moduswechsel immer noch beendet sein sollen !? ^^ naja egal ...

nuja, habe jetzt antivir manuell gelöscht und ComboFix ausgeführt. Der hat was gelöscht. Hier das Log vom ComboFix:

Und das Log vom Malwarebytes im A-Modus:

Und die Logdatei vom neuen MalwarebytesScan im Normalen Modus:

Als nächstes OnlineScan durchführen ?

Schritt 1

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 2

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Und wie läuft die Kiste?