|
EXTREM GEFÄHRLICHER VIRUS: c6ubmmri.exe Guten Tag, liebe Community! Ich kämpfe schon seit Wochen mit einer Art von Virus, die unbekannt scheint. Ich weiß leider nicht genau, woher dieser Virus stammt, aber ich habe bereits Vermutungen aufgestellt. Dieser Virus ändert die Startseite des Internet Explorer in about:blank um. Er veranlasst, dass Datei-Endungen bei bekannten Dateitypen angezeigt werden. Versucht man die Einstellungen umzustellen, hindert der Virus einen daran. Es ist ebenso nicht möglich Installationen (MSI) auszuführen. Es folgt die Fehlermeldung: "Der Systemadministrator hat Rechte erlassen, um diese Installation zu verhindern." Im schlimmsten Fall setzt der Virus ein "Hide"-Attribut und lässt den Installer anschließend verschwinden. Der Explorer stürzt häufig ab und arbeitet nur sehr langsam. Die Symptome verschwinden nur dann, wenn man mit den CCleaner alle temporären Dateien löscht oder wenn man mit dem AdwCleaner bösartige Registerschlüssel beseitigt. Nach einiger Zeit treten die Symptome wieder auf. Der Virus ist deshalb so gefährlich, weil er weder von Bitdefender, noch von Malewarebytes und auch nicht von Kaspersky gefunden wird. Dieser Virus kopiert sich auf USB-Sticks und verbreitet sich über das Heimnetzwerk. Ich habe vorhin eine Batch-Datei in eine ausführbare Datei umgewandelt und dann setzten die Symptome urplötzlich wieder ein. Ich habe mit dem CCleaner meine Registry nach Fehlern abgesucht. Folgender Registerschlüssel fiel mir dabei ins Auge: Fehler: Anwendungspfad Fehler Daten: C:\Users\%USERPROFILE%\Desktop\c6ubmmri.exe Registry Schlüssel: HKCU\Software\Microsoft\Windows NT\CurrentVersion\ AppCompatFlags\Layers Benutzer: Alle Benutzer Ich hatte meine Registry erst gestern noch bereinigt und habe auch nichts heruntergeladen! Ich habe nur mit dem Bat_To_Exe_Converter.exe eine Batch-Datei in eine ausführbare Datei konvertiert! Vielleicht schleust das Programm den Virus in die umgewandelte Datei mit ein. Ich hoffe, mir kann jemand helfen! |
Hallo und :hallo: Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht! Zudem bitte auch ein Log mit Farbars Tool machen: Scan mit Farbar's Recovery Scan Tool (FRST) Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
 Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo, Cosinus! :) Ich muss dich leider enttäuschen, denn kein Antivirenprogramm hat irgendetwas Auffälliges bemerkt. Bitdefender findet zwar andauernd infizierte Cookies, aber was anderes ist mir nicht aufgefallen. Ich werde jetzt erst mal einen LOG mit FRST erstellen! P.S Danke, dass du versuchst, mir zu helfen! ;) |
FRST Anhang 69719 Addition Anhang 69720 Shortcut Download: hxxp://www.mediafire.com/view/fk7pxob8ustbi8s/Shortcut.txt Ich habe leider nicht so viel Zeit und kann daher nicht wirklich häufig antworten. Gruß, Plyplay! :) |
FRST Anhang 69730 Ich habe leider nicht so viel Zeit und kann daher nicht wirklich häufig antworten. Gruß, Plyplay! :) |
Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Cosinus! Ich habe anscheinend beim Log-Post ziemlichen Mist gemacht. Ich entschuldige mich in erster Linie dafür und werde sofort eine richtiges Log-Fenster bereitstellen. :) FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-09-2014 01Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 21-09-2014 01Die Shortcut.txt war zu groß und kann daher nicht als Logfile gepostet werden! |
Dann bitte jetzt Combofix ausführen: Scan mit Combofix
|
Code: ComboFix 14-09-24.01 - Leon Schmitz 25.09.2014 17:45:49.1.4 - x64 |
Adware/Junkware/Toolbars entfernen (alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!) 1. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Es sind weitere Probleme aufgetaucht nach dem Combo-Fix Scan: Google-Startseite wird nur noch als leeres Fenster angezeigt. Skype meldet: "Anmeldung nicht möglich wegen eines Disk I/O-Fehlers." Systemwiederherstellung macht immer Fehler, wenn man versucht, dass System zurückzusetzen. :( Die Logs folgen.... :) Code: # AdwCleaner v3.310 - Bericht erstellt am 26/09/2014 um 09:59:10Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-09-2014--- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-09-2014 |
Zitat:
|
Nach dem Scan mit ComboFix gab es nur noch Probleme. Ehrlich gesagt hat sich alles nur noch verschlimmert. Ich hatte also die Idee, das System auf den Zeitpunkt zurückzusetzen, wo ich den FRST-Scan beendet hatte, um schließlich den ComboFix-Scan erneut auszuführen. Tut mir Leid, wenn ich unsere Ergebnisse dadurch verfälscht habe. Ich kann, wenn du magst, wieder von vorne anfangen. |
Nö, wenns zu schlimm ist nehmen wir die Abkürzung also Neuinstallation des Systems. |
Wenn du keine Lust mehr hast, kann ich das natürlich verstehen, denn ich habe mich wirklich dämlich angestellt und alles andere als kooperativ gearbeitet, tut mir Leid dafür. Wenn du allerdings wirklich glaubst, dass eine Systemwiederherstellung das Beste ist, dann werde ich dem nachgehen. |
Welche Probleme sind mit diesem Rechner jetzt noch offen? |
Das Google-Probleme hat sich von selbst behoben und Skype funktioniert jetzt auch wieder :) Das .msi - Problem bleibt aber weiterhin bestehen. Ich kann also keine .msi Dateien installieren. Fehlermeldung: "Der Systemadministrator hat Recht erlassen, um diese Installation zu verhindern." Das war aber schon vor unseren Scans so :) |
Ertsmal Kontrollscans mit MBAM und ESET bitte: Downloade Dir bitte  Malwarebytes Anti-Malware
ESET Online Scanner
|
Code: Malwarebytes Anti-MalwareEset lässt sich nicht installieren, da es keine Verbindung zum Proxy-Server aufbauen kann... |
neustart, nochmal probieren |
Hat geklappt! Aber ich konnte keinen richtigen Log erstellen... Das hat das Programm auf jeden Fall gefunden: Code: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\update[1] Variante von Win64/Toolbar.Perion.A evtl. unerwünschte Anwendung |
Hast ja schon alles gelöscht :D |
War das jetzt Schlimm?? D: Ergänzung: Code: ESETSmartInstaller@High as downloader log: |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: AlternateDataStreams: C:\ProgramData\Temp:373E1720Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Die Fixlist.txt ist nach dem Fix verschwunden... Das hier ist die Fixlog.txt: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2014 |
Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ist aber nur optional. Um Usertracking zu verhindern kann man gut die Firefox-Erweiterung Ghostery verwenden. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Danke erst mal dafür :daumenhoc Aber ich kann immer noch keine msi-Dateien installieren. Daher kann ich auch keine Sicherheitsupdates für NET.Framework 4.0, 4.5 installieren (Fehlercode 643) :/ |
Versuch mal das hier => Windows Repair (All In One) - Download - Filepony |
Ich versuch es erst mal und gebe bescheid, ob es das jetzt gebracht hat oder nicht^^ Es wäre schon ärgerlich, wenn ich mein Problem ganz einfach nur durch so ein Tool reparieren könnte, da wir ja vorher die ganzen Scans gemacht haben :P |
Das Tool hätte aber nicht den Müll entfernt, der auf deiner Kiste rumlungerte... :kloppen: |
ja stimmt und das Tool hat es leider nicht gebracht :daumenrunter: |
Dann wurde dein System zu stark beschädigt. Helfen tut eine Reparatur- oder Neuinstallation. Windows-Setup-DVD wird benötigt. |
Ich hoffe, dass das Repair-Tool auf der Windows-ISO funktioniert... Ist es eigentlich legal, sich ISOs herunterzuladen? O.o |
Die Windows 7 ISO Datei bekommt man legal von einem offiziellen MS-Mirror (Digital River) siehe auch http://www.trojaner-board.de/100776-...-download.html |
Danke dafür! :daumenhoc Ich habe mal eine ISO für meine VirtualBox gebraucht und habe sie hier: hxxp://www.lolametro.de/de/windows-iso-download-links/ heruntergeladen? Ist diese Seite zuverlässig bzw. legal? P.S Das Reparationtool hat leider nicht den gewünschten Erfolg gebracht... Ich glaube, man muss eventuell den msi-Installer neuinstallieren... :/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board
