Virenproblem
 

hallo Community,
ich hab' hier ein ziemlich großes Problem an meinem Rechner und ich hoffe, dass ihr mir dabei helfen könnt.
ich hab mir wohl etwas eingefangen -.-' so hier mal den Verlauf der Infektion (vielleicht sind es auch 2 Infektionen kA).
Vorab mal noch die Anti-Virenprogramme die ich benutze:
- Malwarebytes Anti-Malware
- Security Task Manager
- Spybot Search & Destroy
(- Avira Antivir)

Betriebssystem: WinXP Prof.

Alsoo
es hat damit angefangen, dass ein Prozess im Hintergrund irgendwelche Musikdateien, welche nicht auf dem Rechner vorhanden sind, abgespielt hat. Der Prozess der dies verursachte hieß Pmyroa.exe und es gab noch zudem die Prozesse Plx.exe Ply.exe. Malwarebytes drüber laufen gelassen, fand diese Viren und konnte sich auch für ein paar Stunden damit löschen, doch dann gleiches Problem wieder. Nun konnte ich sie aber mit dem Security Task Manager voll und ganz vernichten. Doch ein paar Minuten nachdem ich diese Prozesse weg vom System hatte, kam die nächste Miserie. Ich wollte Malwarebytes nochmal drüberlaufen lassen um sicher zu sein, doch wenige Sekunden nachdem ich es geöffnet hatte, wurde es automatisch geschlossen.
Naja habs dann wieder gestartet doch dann kam diese Message:

"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"

beim Security Task Manager selbes Problem. Neuinstallation dieser beiden Programme halfen nicht.

Avira und Spybot S&D funzen noch, finden wiederum diesen Virus nicht.

Das Internet ist nun auch langsamer und manchmal geb ich was bei Google ein und werd direkt wieder zu Google geleitet und unten steht "Warten auf 100ksearch.com" (ich benutze btw Firefox)

Außerdem ist im Taskmanager noch einiges komisch:


http://img6.imagebanana.com/img/s4mv...askmanager.png


- diese komische 2378395611:blablablablabla.exe ist erst da seit diese Pmyora.exe, Plx.exe und Ply.exe weg ist.
- 3 mal Firefox? der Prozess mit 92.596 K ist der richtige Prozess, warum da noch 2 andere laufen ist mit schleierhaft (die sind auch da wenn Firefox gerade nicht läuft). Dieses Problem war auch schon da als es mit der Pmyroa.exe angefangen hat
- IEXPLORER.exe ? öffnet sich automatisch. Wenn ich den Prozess beende dauert es ca 10-15 Sek dann ist der Prozess wieder da! Genau wie bei den Firefox-Prozessen. Seit da mal diese Pmyroa.exe im Hintergrund gelaufen ist
- svchost.exe?! ein normaler Prozess, aber sooo oft?

Abgesicherter Modus -> Blue Screen

Wenn ich zumindest den Security Task Manager und/oder Malwarebytes wieder gescheitet nutzen könnte [...] :S

bitte um Ratschläge!
(wenns geht alles Step-by-Step. Kenne mich mit PCs nicht sooo aus)

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
kira

ups sry
hat irgendwie 2 mal gepostet =/ diesen Post hier löschen bitte^^

nabend =)
danke für die schnelle Antwort. Habe die Anweisungen Schritt für Schritt durchgelesen. Hier das Ergebnis:

zu Punkt 1:
hat leider nicht funktioniert (hatte Internet raus und keine Programme laufen, sowie keine Anti-Viren-Programme)
Gmer hat gescant, aber direkt nach dem Scan (zumindest denke ich dass der scan zuende war^^) hat sich Gmer beendet und ich konnte nicht auf Copy klicken =/
habe diesen Schritt übersprungen

zu Punkt 2:

zu Punkt 3:

->Extras.txt

-> OTL.txt

zu Punkt 4:
hier mal die Programmliste die mir der CCleaner ausgespuckt hat

Der Prüfung hat`s ergeben (vermutlich), dass das bösartige MBR-Rootkit hat sich im MBR festgesetzt...
Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren.

wenn Du statt Format C:\ für Systemreinigung entscheidest, dann so geht`s weiter:

1.
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• deaktiviere vorübergehend dein AntiVirus-Programm
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

2.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:
(alle vorhandenen Protokolle)

hat beides nicht funktioniert.
Ich starte den TDSSKiller und klicke auf "Scan starten", dann startet der Scan aber das Programm schließt sich wieder automatisch und wenn ich TDSSKiller jetzt ausführen möchte kommt wieder die tolle Meldung:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können."

Bei Malwarebytes das selbe.

ich möchte nur ungern den PC formatieren...gibt es noch eine andere Möglichkeit?

ob dein System ohne Formatierung gesund wird, bezweifele ich !:o

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
Datei-Kontrolle
Überprüfe deine Einstellungen. - Anleitung
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

3.
könnten von Malware stammen?:
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:
4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Sooo hab dann mal die 4 Punkte abgearbeitet und bin zu folgendem Ergebnis gekommen:

1. OTL-Fix:
Punkt 2:
die Einstellungen an den Ordnern wurde wie oben beschrieben vorgenommen

Punkt 3:
zu Punkt 4:
OTL hängt sich nun während des Scans auf und muss "Sofort beendet" werden

versuche im abgesicherten Modus - Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast) und versuche OTL von hier ausführen
wähle "Abgesicherter Modus"

alles sowie ist in die OTL Textbox reinkopieren:

wie im Starttext geschrieben bekomm ich beim Abgesicherten Modus 'nen Bluescreen
achja...muss ich mir sorgen um meine Logindaten machen, sprich ICQ/WkW/Facebook/Email/World of Warcraft, also dass sie von diesem Virus an irgendjemanden übertragen werden?

1.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, eventuell auch die PIN für das Online-Banking) ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

2.
einen Versuch mit Avast:
MBR mit aswMBR von Avast wiederherstellen

• Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
• PC vom Internet trennen, Firewall und alle Schutzsoftware deaktivieren
• XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
  Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
• Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.
• Klicke Scan, um den Suchlauf zu starten.
• Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt und eine MBR-Infektion gemeldet wird, klicke Fix (bei TLD) oder FixMBR (bei Whistler), um den MBR wiederherzustellen.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

MBR mit aswMBR von Avast wiederherstellen hat nicht funktioniert. Mitten im Scan wird das Programm abgebrochen!

dann ein letzte Versuch, bevor Du dein System formatieren musst - ► WENN das Tool unter Punkt 1. NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!

1.
Vor dem nächsten Schritt, also bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

2.
Werden wir zunächst ein kleines Tool einsetzen, das auf bekannte Rogue-Malware-Prozesse spezielisiert. Dabei sucht es nach schädlichen laufenden Prozessen und beendet diese.

• Download von hier:→ http://download.bleepingcomputer.com/grinler/rkill.com
• Speichere es auf Deinem Desktop und Starte das Tool mit Doppelklick
• Es wird sich ein DOS-Fenster öffnen und nach Fertigstellung automatisch wieder schließen.
• Nun darf nichts mehr am Rechner getan werden
• Nachdem die Suche abgeschlossen ist:
  Wichtig!:
  Das System auf keinen Fall neustarten, also nicht ausschalten!
• Es wird Log-Datei unter C:\rkill.log erstellt
• Bitte das ausführliche Scanprotokoll hier posten.
• Lasse Rkill auf dem Desktop, bis ich sage, dass es gelöscht werden kann.

3.
Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows 2000 (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte vorher fragen.
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP

• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist.
  Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!