Extern USB Stick Verknüpfungen
 

Hallo zusammen,

haben auf eurer Seite schon einiges über dieses Virus gelesen (macht Ordner zu Verknüfungen bei extern USB Speichermedien).
Nun habe ich einem Freund mein USB Stick geliehen.....
Als ich ihn wieder bekam hatte er den Virus drauf. Nun habe ich von der Firma aus den McAffee Virenscanner drauf und dieser erkannte es sofort und schreibt in der LOG Datei:
23.03.2012 18:57:02 Gelöscht NT-AUTORITÄT\SYSTEM C:\Windows\system32\svchost.exe G:\autorun.inf New Autorun!inf.a (Trojanisches Pferd)

23.03.2012 18:57:09 Gelöscht Trosky-PC\Trosky C:\Windows\Explorer.EXE G:\84612796\November 11.exe PWS-Spyeye.dh (Trojanisches Pferd)

G:\ war der USB Stick.

Nun wollte ich mal nachhören ob das Zeug mein PC infiziert hat oder nicht?!

Vielen Dank für euere Antworten :crazy:

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Ich habe nun ohne Externe Medien gescannt da ich den USB-Stick direkt formatiert habe und keine anderen Medien seit dem angeschlossen waren.

Malwarebytes
ESET Scanner
Vielen Dank im Voraus :bussi:

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Ahhh sorry , hab ich verpeilt zu posten habe gestern auch ein vollständigen Scan gemacht.

Hier der andere Scan:

Nochmals Vielen Dank :-)

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Nun hab ich nochmal ein Scan mit OTL gemacht. Habe den Log als Arschiv angehängt.



Kann ich den PC nun wieder nutzen ohne Angst?

Vielen Dank im Voraus

Nein wir sind hier noch nicht durch!

Du hast den Haken bei Scanne alle Benutzer vergessen! :(

:balla: ahhh sorry.
So jetzt aber, habs nochmal angehängt.

Haben wirs denn nun geschaft?
Was mache ich mit dem PC der den Virus verteilt? (ein Freund) Kann ich da die selben Schritte anwenden ?

Mit freundlichen Grüßen
Vielen Dank :-)

Was meinst du da? :confused:
Wer verteilt da was?

:-D
sorry hatte ich doch am Anfang geschrieben.
Alsoo ein Freund von mir hat sich mein USB Stick geliehen um Fotos zu kopieren, als ich den Stick wieder bekommen haben sagte er , dass dieser nicht funktioniert. Als ich den dann bei mir eingesteckt hab hat mein MCAfee direkt alarm geschlagen und die Viren gelöscht.
Nun haben wir ja meinen Laptop geprüft.

Ist meiner denn nun okay?

Liebe Grüße

Naja, das und die letzte Beschreibung hatten irgendwie miteinander nicht viel zu tun :crazy:

Wenns geht solltest du den Stick überformatieren. Deaktivier aber vorher die automatische Wiedergabe auf allen Laufwerken komplett!!

Automatische Wiedergabe deaktivieren

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Melde dich wenn du durch bist, dann gehts weiter

Okay :-)

Also automatisch Wiedergabe ist deaktiviert und der Stick formatiert.

Gut. Dann bist du gegen automatische Infektionen durch Sticks und v.a. von diesem Stick erstmal immun, da nichts mehr automatisch startet.

Och nee, woher hast du dieses AdobeCS5? :(

Okay, das hört sich doch schonmal gut an :-)

Also ist mein Lapi wieder bzw. immer noch Viren frei? Und ich kann wieder OnlineBanking betreiben?

Cs5? Photoshop oder wie? Das Photoshop hab ich gekauft, da ich es hin und wieder für die arbeit brauche und wir da nur gekaufte Software einsetzten.

Mit dem PC von dem die Viren ausgehen verfahre ich jetzt genau so und arbeite die Liste durch? Soll ich dazu ein neues Thema aufmachen?

Vielen Dank für deine Hilfe:singsing:

Dann verrat mir mal wie du deine gekaufte Version aktivieren konntest, wenn für dein Rechner der Aktivierungsserver nicht erreichbar war

O1 - Hosts: 127.0.0.1 activate.adobe.com

:pfeiff:

Ich hab keine Ahnung wie ich das gemacht hab und ich hab auch keine Ahnung was es mit diesem "O1 - Hosts: 127.0.0.1 activate.adobe.com" aufsich hat. Das ist ca. 2 Jahre her. Aber wenn du drauf bestehst mache ich dir gerne ein ScreenShot der Kauf bestätigung über Adobe Photoshop :-D (Ich sollte es noch als Email irgendwo haben wurde Online gekauft).

Zwei fragen habe ich noch:

Also ist mein Lapi wieder bzw. immer noch Viren frei? Und ich kann wieder OnlineBanking betreiben?

Mit dem PC von dem die Viren ausgehen verfahre ich jetzt genau so und arbeite die Liste durch? Soll ich dazu ein neues Thema aufmachen?

Liebe Grüße

Hattest du vor der Kaufversion mal ne andere Version installiert gehabt?

Dein Rechner kann damit activate.adobe.com nicht mehr erreichen, also so auch keine Adobe-Software mehr aktivieren

mhh ja gut möglich das ich da früher mal was drauf hatte was runtergeladen war oder so.
Wie ändere ich das denn? Hatte bis jetz aber nie Probleme Updates bzw. verbindungen zu adobe auf zu bauen.

Schon ok, wir setzten die Hosts Datei gleich zurück. Lass mich vorher aber noch was wissen: Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also ich hab mal nach geschaut und nix entdecken können was verdächtig aussieht. Leer war auch nur ein Ordner das war aber ein SPS Programm was ich vor geraumer Zeit deinstalliert habe.

Meinst du denn das ich überweisungen machen kann? Habe dafür das Programm Quicken Deluxe. Müsste nämlich dringend welche machen :-O

Danke dir

Nein warte bitte ab oder mach die Überweisung bei der Bank am Überweisungsterminal!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

So ebenfalls erledigt :-)

Mensch :-D Wieviel schritte habe ich den noch vor mir?
Wollte heute mal mit dem PC anfangen von dem ich die Viren bekommen habe, soll ich dafür ein neues Thema aufmachen?

Mach für den anderen Rechner ein neues Thema auf


Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

So auch diesen Punkt habe ich nun erledigt. Sah den bisher irgendwas so aus als wäre ein Virus auf dem PC?

Hier der Log
liebe grüße

Ja da wurde schon einiges an Müll entfernt. Toolbars und Adware
Da kann aber immer noch mehr drauf sein.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.