|
Total PC Defender 2010 Maleware - System wieder sauber? Liste der Anhänge anzeigen (Anzahl: 1) Hallo Community, habe mir leider den PC Total Defender 2010 auf einer "Beta" Seite eines Freundes eingefangen. :schmoll: Leider hat weder der M$ Defender die Maleware entdeckt, noch Antivir :( Habe die "Software" direkt über Systemsteuerung deinstalliert. Die Fenster und Systemsymbole sind verschwunden auch der Taskmanager lässt sich wieder aufrufen als wäre nie etwas passiert. - Habe mit Antivir eine vollständige Überprüfung durchlaufen lassen und es wurde vollgende Schadsoftware entdeckt: TR/Rootkit.Gen Hab es in Quarantäne verschoben. - Spybot lieferte vollgendes: http://www.trojaner-board.de/attachm...6&d=1269914681 Hab es Spybot beheben lassen. Was bedeutet, entfernen. Bin dann unter FAQ die Anleitung zur Entfernung von PC Total Def. durchgegangen mit vollgenden Ergebnis: - Malwarebytes: Zitat:
Es konnten alle Registry Fehler behoben werden bis auf den der Antivir verursacht. - RSIT Ergab folgende Logfiles: Siehe Anhang Ist das System wieder absolut sauber? Das Problem ist das es nicht mein Rechner ist. Daher sollte der Rechner 100%zig vom Total Defender bereinigt sein. Danke für die Hilfe. |
Hallo und :hallo: Bitte das Malwarebytes Logfile komplett posten! Erstellt auch eins mit OSAM und poste es. |
Danke cosinus für den netten Empfang :) Und danke das es dieses Board gibt! Noch einmal Malewarebites: Zitat:
Loglife von OSAM: Zitat:
Ich nutze FireFox 3.6.2 als Browser. Bin mir nicht sicher ob es eine Rolle spielt. |
hallo und :hallo: Code: [Drivers] |
Sorry habe den Report mit den Einträgen leider geschlossen. Dachte der Report wird in einer Textdatei angezeigt. Kann ich diesen mir noch einmal anzeigen lassen? |
:confused: Hast Du die erwähnten Einträge nun deaktiviert oder nicht? Mach einfach ein neues Log mit OSAM |
Müssten deaktiviert sein. Im kurzen Report wurde zumindest alles mit einem grünen Hacken versehen. Es sei erwähnt das die Datei: C:\WINDOWS\system32\drivers\cphgv.sys In Quarantäne liegt. OSAM Log: Zitat:
|
Ok. Dann noch bitte ein Log mit CF machen und wie sollten dann fast durch sein :) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
CombiFix Log: Im Anhang Habe aber den Schritt 6 bei der OSAM Anleitung noch nicht durchgeführt. Sollte man das noch machen? Noch eine Bitte: Wie erkennt man das der Server von dem Trojaner befallen ist? Gibt es dort ebenfalls irgendwelche Scanner? Die Seite scheint zumindest für viele wieder normal erreichbar zu sein. Werde aber mit dem Windows System nicht noch einmal darauf zugreifen. :Edit: Sorry übersehen den CCleaner durchlaufen zu lassen bevor ich ComboFix starte. Ist das tragisch? Den Cleaner hatte ich schon heute Nacht laufen lassen. |
Zitat:
|
Ja genau den Schritt meine ich. |
Doch kannst ruhig machen. Mach bitte auch Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Gerade OSAM noch einmal durchlaufen lassen, und hatte diese rote Meldung Zitat:
|
Das müsste von CF stammen. Eigentlich ist die mbr.sys ein Teil von GMER um den MBR (Master Boot Record) auf Befall zu scannen, aber CF hat das alles mit on board ;) |
Danke :) dachte schon an Schlimmes ;) MBR kam mir doch gleich bekannt vor. SASW Log: Zitat:
Malwarebytes Log: Zitat:
Habe die Administratoren von der Webpage mal darauf aufmerksam gemacht aber dort wird ein Fehler in ihrem System bestreitet. |
Zitat:
|
bluplay Wie schon erwähnt ist die Seite erst in der "Betaphase" bedeutet, die richtige Seite ist darüber nicht zu erreichen. Gestern Nacht kam es auf der Webseite zu Merkwürdigkeiten. Laut Serverlog war der Server die ganze Zeit on. Jedoch haben 3 User die unerreichbarkeit der Seite gestern Nacht bestätigt. Leider hat der Trojaner nur mich erwischt. Was bedeutet der Fehler wird an mir vermutet :( Habe auf der Seite erst mit dem Milestone(Android Smartphone) zugegriffen, jedoch hat die Seite endlos geladen. Habe es schließlich an einem Windows Rechner probiert, wo leider nur ein Administrationskoto erstellt ist. Als ich mit dem FireFox auf bluplay zugreifen wollte hat die Webseite länger als sont geladen, nach dem Laden kam die Fehlermeldung vom PC ToTal Defender. Bevor ich es vergesse. Ist der Rechner wieder sauber? Kann ich wieder beruhigt schlafen? ^^ |
Rechner dürfte soweit wieder ok sein oder haste noch Meldungen? Wegen Bluplay: Möglich ist das prinzipiell schon, dass (gehackte/gecrackte) Webseiten Malware verteilen, deswegen sollte man ja auch zum Surfen nur eingeschränkte Rechte verwenden. Aber wenn auch andere draufwaren und nur Du den Befall hattest, kann da was nicht stimmen und Du müsstest die Infektion von woanders herhaben. Mach den Link zu blueplay bitte unkenntlich, wenn den nicht jeder sehen soll, weil das TB ein öffentlich zugängliches Forum ist! Sofern wieder alles ok ist, solltest Du mal unbedingt die Updates prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Nein eigentlich alles wieder normal. Aber den anschein hatte es auch als ich die Malware deinstalliert hatte. Kann es aber kaum glauben das es ein Zufall das gerade die Seite die auf dem Handy Probleme machte, und nach dem laden mit dem FireFox plötzlich der PC Total Defender erschien. Die einzige dubiose Webseite die ich mit dem System aufgerufen habe war Kino.to aber das liegt jetzt eine halbe Woche zurück. Werde die Software aktualisieren. Ein herzliches Danke von mir :daumenhoc |
Sorry das ich wieder "nerve". Ist meine letzte Frage versprochen. Was genau tut der Trojaner Rootkit.Gen? Hab irgendwie ein unsicheres Gefühl bei dem System mit Bank oder Kreditdaten. Das System ist laut Antiviren immer noch sauber aber ich wüsste gerne was der Trojaner bzw. Pc Defender genau macht. Ich weiß das man sich nur sicher ist, bei einer Neuinstalation des Systems aber das will vermeiden. :( |
Zitat:
Was ein Rootkit ist, verrät Dir zB Wikipedia. |
Verstehe schon was das heiß :( Die beste Lösung ist formatieren :schmoll: Trotzdem Danke. |
Hallo an Alle! Entschuldigung dass ich vielleidht hier falsch bin, aber ich hab ebenso das Problem mit diesem Total PC Defender 2010 auf meinem Laptop. Wollte vor einer halben Stunde grad im Netz auf einer Seite etwas nachsehen wo ich eigentlich seit Jahren hinsurfe. Dann ploppte plötzlich dieses "Virenprogramm" auf. Ich wollte es per Systemsteuerung löschen und mit Norton 360 entfernen. Aber nachdem ich den Scan gestartet hab fuhr sich der PC von selbst runter und wieder rauf. Seitdem sehe ich keine Icons mehr. Ich wollte den Tipp hier verfolgen und es mit rkill.exe oder wie das heißt entfernen, aber wie gesagt, er nimmt mir keinen USB Stick mehr und die Icons wie auch die Taskleiste ist weg, nur noch dieses Fenster ist da. Ich bin jetzt total überfordert weil ich auch so ein Problem - generell noch nie einen Virus drauf - hatte. Ich bin auch in PC-Dingen komplett überfordert! :( Bittel helft mir wenn möglich, weiß bitte jemand Rat? Danke vielmals im Voraus. |
"Schön" das ich nicht der einzige bin, der plötzlich von diesem Mist überfallen wird ;) Am besten du versucht wichtige Daten zu retten. Lad dir Knoppix als LiveCD runter. (Die erste .ISO Datei und das Image auf CD/DVD brennen) CD einlegen und vom CD-Rom laufwerk booten, dann wird das Live-System geladen (keine sorgen das System installiert oder löscht auch nichts) Dort kannst du auf das Windowssystem zugreifen und daten auf dem USB Stick verschieben. Für mich hört sich das nicht allzu gut an. Kannst du den Taskmanager aufrufen? [Strg]+[Alt]+[Entf] Falls ja, gehe unter Datei --> Ausführen --> explorer.exe |
Zitat:
Es geht mir eh im Prinzip um die wichtigsten Daten, ich hab dort schriftliche Arbeiten drauf die unheimlich wichtig sind, das macht mir am meisten Sorgen. Läuft deiner denn wieder normal? Ich überlege ob ich am Dienstag nicht zu einem PC Spezialisten gehen soll, denn ich komme weder vor noch zurück mit dem Käse... ich heul gleich... |
Kannst du mir sagen welches Betriebssytem und ob du mit strg + alt + entf etwas in die Kommandozeile schreiben kannst ? Aja und ob eine Windows CD bzw DVD vorhanden ist |
Keine Bange und nicht heulen die Daten sind alle auf der Platte ;) und man kommt an diese eigentlich ran. Kannst du auch keinen Taskmanager aufrufen? (die oben genannte Tastenkombination gleichzeitig drücken) Das du keine CDs brennen kannst ist natürlich ärgerlich :-/ Ob dein Laptop booten von einem USB Stick untertsützt ist fraglich. Kannst du keinen Bekannten fragen der die Knoppix runterläd und auf eine CD brennt? Sind "nur" 700Mb. Bin mir fast 100%zig sicher das du mit Knoppix an deine Daten ran kommst. Könntest dir das Geld für den Spezialisten sparen. Solche schwierigkeiten wie du sie beschrieben hast, hatte ich nicht. Meiner lief zwar wieder normal aber da mir bei eingaben von Bankdaten und Kreditnummer etwas mulmig war habe ich das System neu aufgesetzt. @cosinus Zufällig irgendwelche Tipps :edit: Ok, Larusso übernimmt ;) |
Zitat:
|
Zitat:
EDIT: Zudem kann ich den Laptop auch nur noch mit dem hässlichen "5-Sekunden auf den Start-Knopf drücken" ausschalten, weiß nicht ob das wichtig ist. |
nein end ist nicht entf. Soviel ich weis kann es Del auch sein. Versuch einmal bitte die windows + R Taste |
Zitat:
|
Wenn du den Taskmanager geöffnet hast klick auf dem Button [Neuer Task] und gebe mal explorer.exe ein. Alternativ auf Datei --> Neuer Task Dann sollte die Taskleiste und auch der Rest wieder zu sehen sein. |
erledigt ;) |
Ihr seid gemein :p Hinter meinem Rücken. Dann ist ja ok :daumenhoc |
Liste der Anhänge anzeigen (Anzahl: 2) So, als ALLERERSTES möchte ich mich bei Larusso bedanken und für die 3 Stunden die er für mich investiert hat und mit mir Schritt für Schritt alles langsam durchgegangen ist. Danke dir! Der Laptop läuft nun wieder, sogar schneller als vorher. Als ich vorhin grad auf das Start-Menü geklickt habe, fiel mir folgendes auf - siehe Screenshot Nr. 1: Ich ging dann auf Software am Arbeitsplatz und fand das hier vor: Screenshot Nr. 2 bitte Was ist das denn noch genau? Reicht es wenn ich es im Software-Screen einfach entferne? Oder soll ich Norton noch mal drüber laufen lassen? Den Laptop werde ich diese Woche komplett neu aufsetzen lassen, dürfte das dann auch erledigt sein. INs Netz gehen traue ich mich jetzt ohnehin nicht mehr auf diesem Kasten... :koch: |
Das müssten noch die harmlosen Überreste sein ;) Bzw. das was man ohne weiteres entfernen kann wenn die Schadsoftware sich ins System einnistet, bedeutet selbst wen du zu Beginn diese über Systemsteuerung deinstalliert hättest wäre es damit nicht getan. Kannst du ohne weiteres löschen. Was hat denn die Prüfung mit Norton eigentlich ergeben? Als ich damals das System mit Antivir geprüft habe wurde der Trojaner Rootkit.Gen gefunden. Zufällig das selbe Ergebnis? Für die Zukunft bzw. für das neue Systrem ein paar Tipps: - Nie das Administatorkonto als Standard Konto verwenden. Stehts ein Administrator Konto und ein Benutzerkonto verwenden. - Den Internet Explorer als Browser meiden, besser Firefox, Chromium oder Opera. - Regelmäßige Updates von Windows, Flash, Java etc. - Den Windows Defender von Microsoft zur zusätzlichen Sicherheit installieren. Viel Glück. |
Die laufenden Dateien sind nicht mehr vorhanden. Dadurch kannst Du ja Datensichern da du ja formatieren wolltest :) Die sind nach dem Format C: auch weg |
Danke Euch, Larusso und LeoHart - die Tipps nehm ich mir zu Herzen und ich muss Norton erst noch durchlaufen lassen. Hatte gestern einfach keine Lust mehr nachdem ich alle daten gesichert hab. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board