Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows System Defender (https://www.trojaner-board.de/79212-windows-system-defender.html)

elliphas 07.11.2009 16:25

Windows System Defender
 
Hallo zusammen,

seit Gestern Nachmittag hat anscheinend der "Windows System Defender" meinen PC besetzt.
Dies führt dazu, dass permanent Fenster aufploppen, die mir versichern, ich hätte sooooo viele Viren drauf und die mir raten, sie alle zu entfernen. Außerdem ist der PC um einiges langsamer geworden. Den Taskmanager kann ich auch nur aufrufen, nachdem ich ihn umbenannt habe. Ich habe hier (wurde bei Google an anderer Stelle empfohlen) den "Wsaxxxxxx"-Prozess beendet, was allerdings nicht half.

Natürlich habe ich vorher im Board die entsprechenden Themen angeschaut, doch dort wird immer auf "MalwareBytes-Anti-Malware" verwiesen, wobei hier vom Defender die Installation (auch nach Umbennenung via Rechtsklick -> speichern unter) sofort unterbunden wird. Ebenso blockiert den CCleaner :(

Ich hoffe ihr könnt mir bei diesem Schädling helfen :)

cosinus 08.11.2009 12:58

Hallo und :hallo:

Wenn CCleaner und MalwareBytes (noch) nicht funktionieren, wären erstmal Logfiles von RSIT hilfreich. Nimm für RSIT bitte diese umbenannte Version von RSIT.exe

elliphas 08.11.2009 13:31

Selbst die umbennante Installation wird unterbunden, in der Taskleiste kommt dann der tolle Hinweis "xxx.exe" wäre ein fieser Wurm, der meine Information stehlen wolle :X

cosinus 08.11.2009 13:48

Dann probiere bitte OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

elliphas 08.11.2009 14:18

Update!

Ich habe beim Durchstöbern einiger Ordner eine verdächtig wirkende .exe-Datei mit zufällig exakt dem Taskleistensymbol des Defenders gefunden, der Name war eine wirre Zahlenkombination. Nachdem ich jenen Prozess mithilfe des umbenannten Taskmanagers beendet & die Datei gelöscht habe, kann ich nun doch die MalwareBytes Installation aufrufen.

Soll ich nun mit MalWareBytes Scannen/Löschen & den anschließenden Log hier posten oder doch noch mit dem von dir empfohlenen Programm?

cosinus 08.11.2009 15:36

Ja mach das. Probier dann auch RSIT aus.

elliphas 08.11.2009 16:13

Also hier der Rsit-Report!



Der Malwarebytes-report ist zu groß um ihn mit der Forenfunktion hochzuladen, was mach ich da?

cosinus 08.11.2009 16:14

Zitat:

Zitat von elliphas (Beitrag 479205)
Der Malwarebytes-report ist zu groß um ihn mit der Forenfunktion hochzuladen, was mach ich da?

Hänge den doch genauso an wie das RSIT-Logfile!
Reiche dann auch gleich die info.txt nach!

cosinus 08.11.2009 16:20

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a894535\WSa894.exe

Files to delete:
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\system32\winsys2.exe
C:\DOKUME~1\Simon!\LOKALE~1\Temp\b.exe

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a894535

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

elliphas 09.11.2009 16:57

Hier der Log vom Avenger und die Info vom Rsit!

Beim Malwarebytes-Log gibts bei dem Uploaden hier halt folgenden Error:

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 128,4 KB groß.

cosinus 09.11.2009 19:50

Das MalwareBytes Logfile kannst Du bei File-Upload.net hochladen und hier verlinken! Vorher zippen und hier anhängen müsste auch möglich sein!

Edit: Wenn Du schon dabei bist, auch bitte Lop S&D ausführen:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

elliphas 09.11.2009 22:45

Hier die beiden Scanberichte :)

cosinus 10.11.2009 08:32

Da hat MalwareBytes aber ne ganze Menge runtergeschmissen! :eek:
Bitte Combofix nun ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

elliphas 14.11.2009 00:43

War leider den größten Teil der Woche nicht zuhause, deshalb kommt meine Antwort erst so spät :(

Im Anhang der Log des Combofix!

cosinus 14.11.2009 16:01

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"=-
"msnmsgr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-

Folder::
c:\programme\DNA
c:\dokumente und einstellungen\Simon!\Anwendungsdaten\DNA
c:\dokumente und einstellungen\Simon!\Anwendungsdaten\BitTorrent

Driver::
SetupNTGLM7X

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131