malware: antivirus security pro -anty-malware lässt sich nicht installieren
 

hallo, wir haben ein Problem mit dieser malware und wissen absolut nicht, wie wirs in griff kriegen sollen..
nach Downloads wird kein Programm mehr installiert, das wird von diesem vermeintlichen antivirus-Programm verhindert. (wir haben es mit Malwarebytes Anti-Malware 1.75 probiert).
hat der hier was damit zu tun?: BAT/KillAV.FN.1
haben leider nicht so den durchblick, was Computer angeht und brauchen dringend hilfe!!!

Hallo,

starte den Rechner bitte in den abgesicherten Modus mit Netzwerktreibern und mach dort einen FRST-Scan wie folgt:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

das haben wir gemacht, jetzt sagt uns die malware beim download, dass "FRST.exe" einen Virus enthält und gelöscht wurde

-es geht nicht weiter.. das macht er schon die ganze zeit mit uns..

Dann lade FRST an einem anderen Rechner runter, speichere es auf einen USB-Stick und transferiere es so auf den befallenen Computer.

okay, wir ham das jetzt so gemacht, ich hab nur nicht ganz verstanden, wo ich dir das hinposten soll..

tschuldigung, ich hab ja gesagt, dass ich nicht besonders computer-intelligent bin..

Einfach den Inhalt der beiden Logfiles hier in die Antwort einfügen. :)

--- --- ---


FRST:
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

so! ich kann dem mal so GARNIX entnehmen, ich hoffe, dir geht es da anders..
und vor allem, dass diese Daten da nich missbraucht werden..

Hallo,

Na das hoffe ich doch auch.. ;)


Es laufen mehr als eine ungute Sache auf deinem Rechner. Wir löschen im Schritt 1 im abgesicherten Modus zuerst das Antivirus Security Pro, welches verhindert, dass du irgendetwas ausführst. Nach diesem Fix starte den Rechner neu auf in den normalen Modus. Führe dann im normalen Modus die Schritte 2 und 3 aus (Combofix musst du wieder an einem anderen Rechner runterladen und per USB-Stick transferieren).


Schritt 1

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe "notepad" in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt und transferiere sie über den USB-Stick an die gleiche Stelle, wo frst64.exe liegt.

• Starte nun FRST am infizierten Rechner und klicke den Fix Button.
• Das Tool erstellt eine Fixlog.txt. Poste mir deren Inhalt.

Starte den Rechner jetzt neu auf und in den normalen Modus.

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 27-09-2013 02
Ran by ***** at 2013-10-02 16:38:28 Run:1
Running from I:\
Boot Mode: Safe Mode (with Networking)
==============================================

Content of fixlist:
*****************
HKCU\...\Run: [AS2014] - C:\ProgramData\DXgWnspr\DXgWnspr.exe [568984 2013-10-02] ()
2013-10-02 15:26 - 2013-10-02 15:26 - 00001670 _____ C:\Users\*****\Desktop\Antivirus Security Pro.lnk
2013-10-02 15:26 - 2013-10-02 15:26 - 00000118 _____ C:\Users\*****\Desktop\Antivirus Security Pro support.url
2013-10-02 13:11 - 2013-10-02 13:11 - 00000000 ____D C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro
2013-10-02 09:33 - 2013-10-02 15:26 - 00000000 ____D C:\ProgramData\DXgWnspr
*****************

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\AS2014 => Value deleted successfully.
"C:\Users\*****\Desktop\Antivirus Security Pro.lnk" => File/Directory not found.
"C:\Users\*****\Desktop\Antivirus Security Pro support.url" => File/Directory not found.
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro => Moved successfully.
C:\ProgramData\DXgWnspr => Moved successfully.

==== End of Fixlog ====

ich bin grad beim Neustart..

was ist ein code-tag?

ich hab das jetzt zwischen diese codes kopiert, weiß nicht, was das zu bedeuten hat..

wie krieg ich später die Dateien aus diesem Thema wieder raus? wegen der namen und so?

schritt3
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

wir müssen gleich mal weg.. bist du nachher noch einmal online?

Ich mach die Namen für dich unkenntlich. Bei den zukünftigen Logs diese bitte zuerst im Notepad über die Funktion Bearbeiten -> Ersetzen... -> Alle ersetzen durch ***** anonymisieren.

Wie läuft der Rechner jetzt?


Schritt 1

Downloade die RemoteAccess.reg auf den Desktop, führe die Datei aus und bestätige das Hinzufügen zur Registrierungsdatenbank.



Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

der rechner läuft! ausgezeichnet!!

ich mach jetzt mal das, was du zuletzt geschrieben hast..

keine infizierten Objekte in schritt 2..

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.10.02.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
********************* :: ********************* [Administrator]

Schutz: Aktiviert

02.10.2013 21:55:13
mbam-log-2013-10-02 (21-55-13).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199514
Laufzeit: 4 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

das ist der logfile, den ich eigentlich schicken sollte:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4c67bbec61d293498f72ae995b97a54d
# engine=15335
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-02 09:08:02
# local_time=2013-10-02 11:08:02 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 27762 126511102 20965 0
# compatibility_mode=5893 16776574 100 94 7174019 132377932 0 0
# scanned=128906
# found=10
# cleaned=0
# scan_time=3513
sh=6281624C6CB5B6AA9FF616252E3BD126720A3079 ft=1 fh=2b6090f822da336e vn="a variant of Win32/Kryptik.BLPI trojan" ac=I fn="C:\FRST\Quarantine\DXgWnspr\1906356834495242487.exe"
sh=0EB259869FFE3F153A5C3B7B8100D4EC5D30878C ft=1 fh=483cdc06c3ffc419 vn="a variant of Win32/Kryptik.BLRG trojan" ac=I fn="C:\FRST\Quarantine\DXgWnspr\DXgWnspr.exe"
sh=832196115F92D623269C363F8FD1F2CE585EE040 ft=0 fh=0000000000000000 vn="BAT/KillAV.NDV trojan" ac=I fn="C:\FRST\Quarantine\DXgWnspr\serv.bat"
sh=4FBACE427FC634B466C7F4C3E1CBF827EC0ACDAF ft=1 fh=5d2495e534594328 vn="a variant of Win32/Kryptik.BLQL trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\GoogleUpdate.exe.vir"
sh=FD5BADD198061381B1DFB1A740E68480F3816138 ft=1 fh=396a26b902efb086 vn="Win64/Conedex.J trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\U\00000001.@.vir"
sh=31560009D8B91231C86733FB83C9D7A52207A437 ft=1 fh=5ef19a7eae9da3f2 vn="Win64/Conedex.K trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\U\00000002.@.vir"
sh=594BF1E47EF8D4F35EC1B3FD23C3BEA5944F27CA ft=1 fh=cd5f2499ae1a9471 vn="a variant of Win64/Sirefef.AW trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\U\80000000.@.vir"
sh=8BA05B3F0887EA24DB7A56AED185D907047A62D5 ft=1 fh=ee6ee59d406b16cf vn="Win64/Sirefef.BC trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\U\80000001.@.vir"
sh=9FC7522EAF7C8BD5AE87A10988662F7CCE151CF4 ft=1 fh=237d97f03bb60dbf vn="a variant of Win64/Sirefef.AV trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files (x86)\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\9519~1\A535~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\U\800000cb.@.vir"
sh=4FBACE427FC634B466C7F4C3E1CBF827EC0ACDAF ft=1 fh=5d2495e534594328 vn="a variant of Win32/Kryptik.BLQL trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Ralf Schellenberg\AppData\Local\Google\Desktop\Install\{dd0b6037-a9c2-e38b-9363-0614255749a0}\2E2F~1\28F0~1\E628~1\{dd0b6037-a9c2-e38b-9363-0614255749a0}\GoogleUpdate.exe.vir"

ist jetzt alles in Ordnung?
ich hab alles so gemacht, wie du es mir angewiesen hast..
ich danke dir sooo herzlich für deine hilfe!

Hallo,

das passt. Die Funde von ESET sind allesamt nur Sachen, die bereits in Quarantäne sicher aufbewahrt liegen.
Aber die alten Java-Versionen müssen noch verschwinden, sonst landest du bald wieder hier.


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 40.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.
2. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
3. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
4. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
5. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

[list=1][*]Deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.

-so, jetzt haben wa den salat, ich hab diese Datei (combofix) nicht mehr, wahrscheinlich in einem übermütigen augenblick gelöscht.. was kann ich tun?

Lade einfach eine neue combofix.exe auf den Desktop herunter, benenne sie entsprechend um und starte sie.

geschafft, danke für deine hilfe! ich danke dir sehrsehr!