Trojaner-Board - system repair virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - system repair virus (https://www.trojaner-board.de/131396-system-repair-virus.html)

system repair virus

Hi Trojaner Board,

ich habe ein Problem mit meinem Rechner :heulen: und denke nachdem ich mich im Forum belesen habe das es sich dabei um den Virus "System Repair" handelt.

Mein Antivir hat 2 Virenwarnungen erfasst. Anschließend habe ich versucht über entfernen diese zu löschen. Leider war dies nicht erfolgreich und mein ANtivir hat mich immer wieder gewahrnt. Ich habe dannach den Rechner heruntergefahren und wieder angeschalten. Dabei öffnete sich das Programm "System Repair" mit der Aufforderung das System zu überprüfen.

Das Programm erschien mir als seriös sodass ich den Scan über "system repair" durchgeführt habe. Anschließend wurde ich auf mögliche infizierte Fundstellen aufmerksam gemacht.
Als ich aufgefordert wurde die Software im INternet zu aktualisieren wurde ich stutzig und habe diese Aktualisierung nicht durchgeführt.

Nebenbei hatte ich einen schwarzen Desktop mit Ausnahme der Verknüpfung "system repair"
Der Rechner lässt sich noch starten allerdings sind all meine Programme verschwunden.

Habe dann den Rechner ausgemacht und seit dem nicht wieder angefasst.

Benötige Bitte Eure Hilfe um wieder Herr über meinen Rechner zu werden.

Hallo Smilow und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Starte den Rechner bitte in den abgesicherten Modus mit Netzwerktreibern. (Anleitung)
Dort:

Schritt 1

Downloade dir bitte rKill (by Grinler) von einem dieser Downloadspiegel:

Dies sind umbenannte Kopien:

Speichere die Datei auf den Desktop.

Starte dann das Programm.
Nun sollte ein schwarzes Fenster aufgehen und dir anzeigen, dass es läuft.
Wenn das nicht der Fall ist, lösche die vorhandene Version und benutze einen anderen Downloadlink.
Lass das Tool in Ruhe laufen.
Am Ende des Suchlaufs erscheint eine Meldung. Bestätige diese mit Ok.
RKill öffnet automatisch die Logdatei. Poste diese bitte mit deiner nächsten Antwort.
Du findest die Logdatei (Rkill.txt) auch auf deinem Desktop.

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

Starte die TDSSKiller.exe.
Drücke Start Scan.
Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von rKill
Log von TDSSKiller
Logs von OTL

Hi Leo, vorab vielen Dank für Deine Unterstützung.

Leider bin ich gleich am ersten Punkt gescheitert.
Habe den Rechner im "abgesicherten Modus mit Netzwerktreibern" gestartet doch leider ohne Erfolg. Er sagt mir es ist nicht möglich in diesem Modus zu starten. Er geht nach ca. 10-15 sec. in den letzten bekannten Windows Stand über.
Leerer Desktop mit der Verlinkung zu System repair.

Ich muss dazu sagen, dass mein W-Lan noch aktiv ist. Sollte ich dies evtl. am Rechner ausschalten?

Ok, dann führe die obige Anleitung ganz normal in Windows durch, wenn der abgesicherte Modus nicht funktioniert.
Und nein, das WLAN brauchst du nicht auszuschalten.
Wenn es dich im Schritt 1 die Datei nicht herunterladen lässt, dann kannst du sie auf einem Zweitrechner downloaden und per USB-Stick auf den Desktop des infizierten Rechners bringen.
(Übrigens: Deine Dateien und Programme sind nicht weg, nur ausgeblendet. Wir kümmern uns dann nachher darum.)

habe den infizierten Rechner normal unter Windows gestartet, komme leider wieder zum schwarzen Bildschirm. Wollte den Explorer öffnern und Schritt 1 durchzuführen aber der Explorer öffnet sich nicht. Auch das mit dem Stick hat nicht funktioniert, weil ich meinen Arbeitsplatz am infizierten Rechner nicht sehe.

Ich hatte ja den "abgesicherten Modus mit Netzwektreibern" verucht zu starten, sollte ich es evtl. in einem anderen abgesicherten Modus probieren?

Was hast du für ein Betriebssystem? Windows XP, Vista, 7? Ist es ein 32-bit oder 64-bit?

es ist ein Windows XP Betriebssystem mit 64-bit

Kannst du den Explorer öffnen, indem du die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste drückst, dann "explorer" in das Ausführen-Fenster schreibst und mit OK bestätigst? Und dann dort den Arbeitsplatz und den USB-Stick suchst?

mit drücken der Tastenkombination hat sich das Fenster geöffnet. Habe in das Ausführen - Fenster explorer geschrieben und danach mit OK bestätigt.
Leider ist dann jedoch nichts passiert. Habe dies ein zweites mal durchgeführt, ebenfalls erfolglos.

Smilow

So, es reicht.
Erstelle auf deinem Zweitrechner wie beschrieben folgende CD und boote dann den infizierten Computer von dieser.

Auf dem Zweitrechner:
Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote den infizierten Rechner von der OTLPE CD.
Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi Leo,
ich habe die Schritte soweit abgearbeitet.
Leider hat mir OTLPE nur die "OTL" Datei ausgespuckt. Habe ich evtl. irgendwo ein Häckchen nicht gesetzt?

Hi,

das ist schon ok so.

Schritt 1

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch xxx), dann mach das hier wieder rückgängig.

Code:

:OTL

O4 - HKLM..\Run: [XHnASFcJrnlLmYD.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

[2013/02/19 13:50:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\System Repair

[2013/02/19 14:11:59 | 000,001,818 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk

[2013/02/19 13:50:59 | 000,001,800 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\System Repair.lnk

[2013/02/19 13:40:02 | 000,000,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-XHnASFcJrnlLmYDr

[2013/02/19 13:40:02 | 000,000,160 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-XHnASFcJrnlLmYD

[2013/02/19 13:39:40 | 000,000,168 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD

[2013/02/19 13:38:39 | 000,294,912 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD.exe

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Der nächste Schritt sollte all die versteckten Symbole wieder sichtbar machen.
Versuch das wieder normal in Windows auszuführen.

Schritt 2

Downloade bitte Grinler's unhide.exe auf deinen Desktop.

Starte das Tool mit Doppelklick.
Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.

Schritt 3

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

Starte die TDSSKiller.exe.
Drücke Start Scan.
Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTLpe
Log von Unhide
Log von TDSSKiller
Log von OTL

Hi Leo, ich klinke mich für heut aus, bin echt k.o. Möchte mich jedoch schon im Vorfeld für Deine Hilfe bedanken. Machs gut-bis bald! Smilow

Ok, alles klar.
Melde dich einfach wieder hier, wenn du diese Punkte abgearbeitet hast.
Gute Nacht.

Hi Leo, ich habe Schritt 1 durchgeführt.
- Inhalt aus der Codebox kopiert, eingefügt und anschließend run fix
- nach dem Run Fix hatte ich einen Text in der Codebox stehen (als post angefügt)
- danach habe ich die CD herausgenommen und versucht normal unter Windows zu starten

kleiner Erfolg hat soweit funktioniert :singsing: (System repair ist vom Desktop verschwunden), allerdings habe ich die Textdatei nicht auf dem Desktop gefunden, der Arbeitsplatz mit Laufwerk C ist ebenfalls nicht verfügbar.

Ich glaube ich habe zu Beginn einen Fehler gemacht und den Benutznamen nicht mehr korrekt eingetragen!
Daher auch die 2 OTL files :pfeiff: habe es zweimal probiert zu fixen.

Grüße Smilow

Hallo,

du musst jetzt einfach irgendeinen Weg finden, um Programme auf dem Rechner zu starten, auch wenn im Moment noch nicht alles wie gewohnt aussieht. :)
Versuch mal so, die ausgeblendeten Icons wieder sichtbar zu machen:

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "explorer" in das Ausführen-Fenster schreibst und bestätige mit OK.
Es sollte sich dann ein Explorer-Fenster öffnen.
Wähle dann in der Menü-Leiste Extras -> Ordneroptionen...
Wechsle dann in den Reiter Ansicht.
Wähle dort bei Versteckte Dateien und Ordner die Option Alle Dateien und Ordner anzeigen.

Siehst du jetzt wieder mehr?
Mach dann weiter mit Schritt 2.

Hi Leo,

habe Schritt 2 und 3 ausgeführt. Hat soweit ohne Probleme funktioniert.

Schritt 4 konnte ich auch soweit starten, habe die Voreinstellungen vorgenommen und gestartet. Jedoch nach einer gewissen Zeit hatte ich einen leeren Bildschirm. Habe danach den Rechner ausgeschalten um noch einmal OTL zu starten. Allerdings bin ich garn nicht dazu gekommen, ich habe jetzt einen schwarzen Bildschirm.

Die Textdokumente von Schritt 2+3 poste ich anbei.
Schöne Grüße Smilow.

Hi,

das ist ja ein zäher Fall hier..

Zitat:

ich habe jetzt einen schwarzen Bildschirm.

Kannst du mir das bitte etwas genauer beschreiben?
Wann wird der Bildschirm genau schwarz? Startet Windows noch? Kannst du dich noch anmelden?
Oder ist nur wieder der Desktop schwarz und leer wie zuvor?

Die beiden Schritte haben noch nicht viel gemacht bisher, was hätte schief gehen können. Schritt 2 hat alle Dateien wieder sichtbar gemacht und die verschobenen Verknüpfungen wiederhergestellt. Und Schritt 3 hat einfach nur einen Scan gemacht..

Hi Leo, vorab vielen Dank für die Nachricht und die promte Unterstützung :daumenhoc.
Ja "schwarzer Bildschirm" :-) Der Computer wollte nicht mehr booten bzw. Windows hat nicht gestartet.
Naja habe dann heut gleich nochmal den Rechner angeschalten und siehe da, konnte wieder in das Window´s Menu und Schritt 4 durchführen.
Habe Dir die 2 Scan Dateien angefügt.
Schöne Grüße!

Hallo,

eine wundersame Heilung über Nacht.. Umso besser. ;)
Kurze Zwischenfrage: Sind jetzt wieder alle Dateien sichtbar und alle Verknüpfungen auf dem Desktop und im Startmenü vorhanden oder fehlt noch was?

...ja es sind alle Dateien und Verknüpfungen auf dem Desktop sichtbar.
Nur mein Desktop Hintergrundbild ist noch hellgrün. Hatte da ein Foto als Hintergrundbild.

Hi,

Zitat:

Nur mein Desktop Hintergrundbild ist noch hellgrün. Hatte da ein Foto als Hintergrundbild.

Das Desktophintergrundbild musst du selber wieder so einstellen, wie du es haben möchtest (Rechtsklick auf den Desktop -> Eigenschaften -> im Reiter "Desktop" das gewünschte Bild auswählen).

Dann machen wir jetzt weiter:

Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

Schliesse alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von AdwCleaner
Log von Combofix
Log von OTL

Hi Leo, ich habe die Schritte soweit durchgeführt. Nach Schritt 1 hatte ich eine Antivir Virenwarnung erhalten, habe diese Warnung geschlossen.
Anbei sende ich die entsprechenden Files.
Schöne Grüße Smilow

Hi,

Zitat:

Nach Schritt 1 hatte ich eine Antivir Virenwarnung erhalten

Kannst du bitte für mich noch den entsprechenden Avira-Report finden und hier Posten? (Fundmeldung mit kompletten Dateipfad)

Nutzt du die "PAYBACK Toolbar 1.0" bewusst? Falls nicht, dann deinstalliere diesen Eintrag über Start -> Systemsteuerung -> Software.

Weiter:

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

IE - HKU\S-1-5-21-1612464212-439175710-1695326754-1005\..\SearchScopes\{0FFE6B12-B663-4BE1-B40A-2E6A7FF7F521}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=2da470c4-33ee-41f4-8ca0-a0c31e4115a1&apn_sauid=45091EAB-D21B-4F40-A232-CE08C598D640

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (83294600)
 

:commands

[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware.

Installiere das Programm in den vorgegebenen Pfad.
Starte nun Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Schritt 5

Downloade dir bitte SecurityCheck (Link 1, Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von OTL
Log von SecurityCheck

Hi Leo, dank Dir für die nächsten Schritte. Ich melde mich ab und arbeite die Schritte morgen ab. Dir noch nen schönen Abend - bis morgen.
Smilow

Ok, in Ordnung. Dann bis morgen. :)

Hi Leo, bin gerade dabei die oben beschriebenen Schritte zu abzuhandeln.
Schritt 3 bereitet mit gerade ein kleines Problem.
Habe ESET Online Scaner auf dem Desktop kopiert, gestartet, Nutzungsbedingungen akzeptiert doch dann kommt die Meldung
"Can not get update. Is proxy configured?"

Kannst Du mir da bitte einen Tipp geben.
Danke Dir Smilow

Schau das mal nach und versuch ESET danach nochmals:

Falsche Proxy Einstellungen entfernen

Gehe im Internet Explorer zu Extras -> Internetoptionen.
In der Registerkarte Verbindungen drücke auf LAN-Einstellungen.
Wenn bei "Proxyserver für LAN verwenden" ein Häkchen gesetzt ist, entferne dieses.
Setze den Haken bei "Automatische Suche der Einstellungen".
Bestätige mit OK.

http://www.trojaner-board.de/attachm...ntfernen-3.png http://www.trojaner-board.de/attachm...ntfernen-4.jpg

Leo, hat funktioniert. Danke

Prima, dann geht's hier weiter, sobald die Logs da sind.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hi Leo,

sorry das ich mich erst jetzt melde, ich hatte die letzten Tage leider keine Möglichkeit die Schritte durchzugehen. Anbei sende ich Dir die Scans.

Ich habe die Payback Toolbar mal nicht gelöscht, da ich diese von Zeit zu Zeit benutze.

Viele Grüße!
Smilow

Hallo,

ok, der ESET-Fund ist bereits in Quarantäne. Sieht also alles wieder besser aus.
Mach noch die Updates und dann räumen wir auf.

Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall CCleaner.

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über

Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)

zu deinstallieren.

Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 15.

Gehe zu
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
Start --> Systemsteuerung --> Software (bei Win XP)
und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

Lade dir die neueste Java-Version herunter.
Schliesse alle laufenden Programme, speziell den Browser.
Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Schritt 2

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

Combofix /Uninstall

und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.

Schritt 3

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

und drücke OK.

Schritt 4

Downloade dir bitte delfix auf deinen Desktop.

Schliesse alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Klicke auf Start.
DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hi Leo,
ich arbeite die Schritte entsprechend ab. Sage schon mal vielen Dank für Deine Geduld und Unterstützung.
Wie kann ich mich bei Euch erkenntlich zeigen?

Viele Grüße!
Smilow

Hi,

Zitat:

Wie kann ich mich bei Euch erkenntlich zeigen?

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.

Falls bei den letzten Schritten noch Probleme oder Fragen auftauchen, melde dich einfach nochmals hier.

Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.