|
System Care Antivirus Hallo zusammen, hoffe hier auf schnelle Hilfe ... Habe mir wohl den "System Care Antivirus"-Plagegeist eingefangen. (Durch Download von Software über CDNet?) Es poppt jedenfalls in unregelmäßigen Abständen rechts unten auf dem Bildschirm ein offensichtlich gefaktes Antivirus-Fenster muit folgendm Text auf: "Ihr computer ist nicht gesichert [...]" und "Ein kostenloses backup ist verfügbar". Das OS ist Vista Ultimate SP1. Laufender Schutz sind AntiVir und OnlineArmor. Vorinstalliert für Extra-Durchläufe habe ich außerdem SuperAntiSpyware und Mbam. Erfahrung (unter Anleitung) mit sämtlichen Hardcore-Tools besteht bereits. Wenn auch nciht bei dieser Bedrohung ... Bin für jede Hilfe zum Entfernen dankbar. LG Molto |
Hi, mach bitte einen FRST-Scan. Wenn dieser blockiert wird, dann führe ihn im abgesicherten Modus durch. Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo Aharonov, vielen Dank, dass Du dich meines Problems annimmst. Ich weiß deinen Einsatz sehr zu schätzen und hoffe, dass es den Rechner nicht allzu schlimm erwischt hat ... Anbei die Textausgaben des FRST-Scans aus den entsprechenden Dateien. FRST.txt: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-11-2013--- --- --- Addition.txt: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 24-11-2013 |
Ok. Schritt 1
Schritt 2 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 3 Scan mit Combofix
Schritt 4 Starte noch einmal FRST.
|
Hallo, leider kann ich schon den ersten Schritt nicht ausführen ... Denn "MyPC Backup" lässt sich bei mir auf diese Weise anscheinend nicht deinstallieren: Wenn ich auf die Schaltfläche "Deinstallieren/ändern" in "Programme und Funktionen" klicke, dann passiert einfach Nichts. Versuche ich es erneut, erscheint die Meldung: "Warten Sie, bis die Deinstallation bzw. Änderung des aktuellen Programms abgeschlossen ist." Was nun? |
Dann mach einfach weiter mit dem nächsten Punkt. :) |
AntiVirus monierte den Registryzugriff von Combofix... Dachte, es wäre aus...?! Nach dem automatischen Neustart ist Combofix nun außer Rand und Band: pev.3xe öffnet etliche DOS-Fester und schließt sie. Schon seit 20 Minuten... Was soll ich tun? |
Habe den Rechner per Hard Reset nach etlicher Zeit vom endlosen Combofix-Dauereinsatz befreit ... Was nun? Würde mich freuen, wenn ich noch weitere Anweisung zur "Rettung" bzw. Bereinigung des Systems bekommen würde. Gerade nun, da Combofix "abgeschmiert" ist ... Danke schonmal und Gruß Molto Ergänzung: OK, werde es nochmals versuchen und sicherstellen, dass NICHTS sonst mehr läuft ... :-D |
Hi, lösche die vorhandene combofix.exe, lade sie neu herunter (Link) und führe Combofix nochmals wie angegeben aus. Klappt es dieses Mal besser? |
Hallo und danke, dass Du den Faden aufgreifst. Hatte Combofix nochmals ausgeführt und es lief auch durch (inkl. Erstellung des Logfiles). Nach dem Neustart hat der Rechner sich aber wohl am Wiederherstellungspunkt orientiert(?), denn es ist kein Logfile mehr zu finden ... Nach dem Durchlauf von Combofix wurden 75% der auf dem Desktop abgelegten Dateien nicht mehr angezeigt/waren "verschwunden". Nach dem Neustart sind sie allerdings wieder da ... Nur, um sicher zu gehen: Soll ich Combofix dennoch neu herunterladen und nochmals ausführen? Gruß Molto AntiVir hat mir gerade den Fiesling gemeldet, der wohl verantwortlich ist: PowerTab Editor Es handelt sich dabei um einen Download von CDNet, den ich schon im Verdacht hatte. Ich frage mich nur, warum AntiVir sich nicht bereits VOR der Infektion gemeldet hat ... :-/ |
Mach mal mit einem frischen FRST-Scan weiter: Starte noch einmal FRST.
|
Hallo, habe FRST ausgeführt. Das Log-File findest Du am Ende des Beitrags. Nur noch kurz als "Zwischeninfo": Während der Installation von PowerTab Editor scheint etwas mit dem Namen "Outobox" mit-installiert worden zu sein. Der FRST-Log zeigt es in "One Month Created Files and Folders": C:\Program Files (x86)\outobox ... und auch in "Internet (Whitelisted)": BHO-x32: outobox - {30f06672-0e95-41a9-80cb-dee386af99ad} - C:\Program Files (x86)\outobox\outoboxBHO.dll Könnte es sich dabei tatsächlich um eine Variante des Schädlings BrowseFox.F handeln? Ein Check auf VirusTotal ergibt jedenfalls widersprüchliche Ergebnisse: 42x unbedenklich, aber AVG sagt: MalSign.Outobox.C42Auch finden sich im Log Einträge mit chinesischen Schriftzeichen(!?), bspw. der letzte Eintrag in "One Month Modified Files and Folders". Sie machen mich doppelt stutzig, weil es sich stets um den Ordner "C:\Windows\SysWOW64" handelt. Würde mich freuen, wenn Du mir sagen könntest, wie ich weitermachen kann und auch, ob Du die beiden genannten Punkte (Outobox/chinesische Einträge) für problematisch hältst(?). Hier noch das Log-File des FRST-Scans: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 25-11-2013 01--- --- --- --- --- --- Gruß Molto |
Zitat:
Die chinesischen Einträge stammen von Avira. Die haben da einen bekannten Bug drin, welcher diese Files produziert. Mach bitte nochmals einen FRST-Scan, aber dieses Mal mit der Addition.txt. (Und nimm im Editor bitte die Zeilenumbrüche raus, bevor du das Log hier einfügst!) Starte noch einmal FRST.
|
aharonov, anbei die angeforderten Logs. Wie schauen die aus? FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 25-11-2013 01--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 25-11-2013 01 |
Schritt 1
Schritt 2
Schritt 3 ESET Online Scanner
Schritt 4 Starte noch einmal FRST.
|
Hallo aharonov, bitte entschuldige, in den letzten Tagen hatte ich sehr wenig Zeit, deshalb ist der Thread hier leider verwaist. Das System Care Antivirus-Problem scheint tatsächlich behoben. Dafür schonmal vielen Dank. Allerdings hat sich anscheinend ein noch hartnäckigerer Kamerad eingenistet: dwm.exe Im "Prozesse"-Bereich des Taskmanagers wird er mit der Bezeichnung "Firefox" geführt. Wenn ich den Prozess über den TM beende, kommt er nach kurzer Zeit wieder. Dann meist als "Desktopfenster-Manager". Indikator dafür, dass hier evtl. etwas nicht stimmen kann war für mich Folgendes: Von Zeit zu Zeit öffnet sich eine Firefox-Instanz mit "schmutzigen" Seiten und verschwindet auch von selbst wieder. Außerdem kommt mir der PC manches mal fast wie ferngesteuert vor (oder ist das schon Paranoia?). ;-) So verlieren etwa von Zeit zu Zeit Fenster, die im Vordergund aktiv sind, ihren "Fokus" und werden inaktiv ... MBAM, AntiVir und SpyBot finden Nichts. Wie kann ich ab diesem Punkt fortfahren?!? Lohnt es trotz der "neuen" Infizierung noch, wenn ich die von Dir zuletzt angesprochenen Logs hier nachreiche? Gruß Molto |
Hallo, dann mach bitte mit den Schritten weiter, wie ich sie im letzten Post angegeben habe. |
Hallo Leo, zunächst einmal Danke, dass Du diesen Pfad nocheinmal aufgreifst. Nach meinem laienhaften Verständnis sehen die Logfiles der Programme "sauber" aus. Ich bin gespannt auf deine Einschätzung. Anbei die Logfiles der verschiedenen Analysetools: Code: Malwarebytes Anti-Malware 1.75.0.1300Code: ESETSmartInstaller@High as downloader log:FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-12-2013--- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 15-12-2013 |
Hallo, ja das sieht gut aus. Welche Probleme bestehen jetzt konkret noch? |
Hallo, tja, nach den letzten Einsätzen von Adware Cleaner und MBAM gibt es eigentlich keine Probleme mehr. Ich hoffe, dass bleibt jetzt auch mal für ein paar Tage so ... Auslöser für die letzte "Kompromittierung" war wiederum eine Freeware: Camstudio. Nach PowerTab schon die zweite Freeware innerhalb von 14 Tagen, die etwas "einschleppt". Das wird mir eine Lehre sein ... Vielen Dank für deine kompetente Hilfe und weiterhin viel Erfolg! LG Molto |
Alles klar. :) Überprüfe noch mit diesem Plugin-Check (mit dem Firefox hier), ob alle deine verwendeten Plugin-Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts  Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
Danke für die abschließenden Tipps Hier wird man ja wirklich alles andere als allein gelassen. :-) Werde demnächst bei Freeware vorsichtiger sein (Sandboxie kannte ich noch garnicht - super Sache). Danke nochmals. Gruß Molto |
Danke für die Rückmeldung. Freut mich, dass wir helfen konnten. :abklatsch: Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun. Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board
