AV Security Suite - Weitergehende Prüfung nach rkill- und Malwarebytesdurchführung
 

Hallo,
habe Probleme mit Av Security Suite. Habe die Bereinigung wie beschrieben(http://www.trojaner-board.de/86690-a...entfernen.html) durchgeführt (gestern). Problem trat danach erneut auf, worauf ich nochmals Malwarebytes drüber laufen ließ. CCleaner wurde angewendet.

Hier nun die Logfiles:

RSIT:Malwarebytes (heute):Malwarebytes (gestern):Ich denke Malwarebytes war jeweils auf dem neuesten Stand. Heute sicher.

Soll ich nun auch http://www.trojaner-board.de/83878-o...processes.html anwenden?

Vielen Dank für die Hilfe im Voraus!

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
**Vista und Win7 User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

2.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Hallo und danke für die Hilfe,

HJT Scanlist:
Programmliste von Ccleaner:

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
2.
wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus
oder/und mit HJT fixen:

Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 20 schon fällig!)

4.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind, nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

5.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

7.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.

→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

8.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Wie ist den aktuellen Zustand des Rechners?

Wollte gerade die Liste abarbeiten, aber ich bleibe schon beim Löschern der pdfforge Toolbar hängen. Es kommt die Meldung. "Der Systemadministrator hat Richtlinien erlassen, um diese Installation zu verhindern". Da steht tatsächlich Installation, nicht Deinstallation! Als nächstes kommt: "Sie verfügen nicht über ausreichende Berechtigungen, um pdfforge Toolbar v1.1.1 zu deinstallieren. Wenden sie sich an den Systemadministrator".

Irgendwie hat mein PC zwei Benutzer, die gleich benannt sind, aber ich kann das Programm von beiden Benutzern aus nicht löschen und es kommt jeweils die Fehler-/Warnmeldung.

Außerdem:
Ich hab keine Ahnung, ob ein Proxyserver lokal installiert ist, aber ich habe die Proxyeinstellungen aus den Interneteinstellungen rausgenommen.

Ich würde deine Liste gern abarbeiten, bin aber durch oben angeführte Probleme verhindert:(

PS: Java ist aktualisiert :)
Und zum aktuellen Zustand des Rechners: Scheint normal zu laufen. AV security hat sich nach dem zweiten Malwarebytesdurchgang nicht mehr gemeldet!

pdfforge Toolbar ist deinstalliert mit Hilfe von CCleaner (Extras-Programme deinstallieren). :singsing:

Ich versuche jetzt fortzufahren.

Hallo,

die Punkte 1, 2, 3, 4, 5, 6 sind abgearbeitet.
Das mit Kaspersky muss ich morgen machen.
Die Autorun Funktion hab ich versucht auszuschalten. Aber irgendwie startet der Stick immer noch automatisch, er leuchtet nur nicht mehr. Einstellungen siehe Anhang! Eigentlich wie in der Bescheibung.

Hier der Superantispyware log:
Grüße

Hallo,
hier nun der Kaspersky Report und das Hijack log.

Kaspersky:

HiJackthis Logfile:
--- --- ---

Grüße

hi

den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick*
über Systemsteuerung -> Java...

gibt`s noch Probleme..Auffälligkeiten?

Java Cache gelehrt.

Ich hab eigentlich das Gefühl, dass der Rechner wieder normal läuft.
Also keine mir offensichtlichen Auffälligkeiten.
:dankeschoen:

hi

Ich bin auf etwas noch gestoßen was mich sehr stutzig macht, also auf Nummer sicher gehen ...:
1.
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

Also Gmer ist abgestürtzt. Hat nicht funktioniert.


ROOTREPEAL

Driverslog:
Stealthlog:
Rootrepeal.txt:
Du wolltest das wahrscheinlich anders aufgelistet haben. Aber ich wusste nicht, wie ich das umsetzen sollte. Irgendwie waren es ja mehrere Logfiles. Die letzte Logfile hab ich mit dem Programm unter "Report" erstellt. Ist sicherlich falsch.:o

1.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

2.
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:
3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Hallo,
kann bis Montag nicht an den PC, da nicht daheim. Danach kümmer ich mich sofort. Danke

Ok, bis Montag bin auch nicht on ;)