Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   AV Security Suite Problem/Entfernen (https://www.trojaner-board.de/89581-av-security-suite-problem-entfernen.html)

no name 16.08.2010 12:20

AV Security Suite Problem/Entfernen
 
Hallo,
ich habe mich hier angemeldet weil ich ein Problem seit einigen Wochen habe.
Ich war im Urlaub und kann das Problem jetzt erst versuchen zu lösen.

Ich habe mir den Virus (?) AV Security Suite eingefangen.
Ich war auf irgendeiner Seite und plötzlich stand unten in der Leiste neben der Uhr dieses Zeichen von dem Virus. Er hat direkt meine Daten gescannt.
Ich habe direkt gegoogelt und dort fand ich heraus dass es sich um einen Virus handeln soll.
Ich habe durch einige Anleitungen versucht den Virus von meinen PC zu bekommen aber es hat nie geklappt.
In den Anleitungen stand, dass ich den PC neustarten soll und der Virus dann weg sein sollte aber bei mir war er immer noch da.
Irgendwann ließen sich keine Dateien oder das Internet öffnen.

Ich habe dann erstmal das Konto gewechselt. Auf mein Adminkonto hatte ich dann auch auf keinen Zugriff auf Dateien.
Ich habe drei Konten auf meinen Rechner.
Auf zwei von denen war der Virus gekennzeichnet.
Auf dem dritten kann ich die ganze Zeit ungehindert arbeiten.

Ich war jetzt im Urlaub und habe den PC kaum genutzt.

Ich habe heute die anderen Konten ausprobiert und ich konnte jeweils wieder auf die Dateien zugreifen jedoch komme ich nicht ins Internet.
Es werde auch keine Meldungen etc mehr angezeigt. Ich finde aber das die beiden Konten langsamer laufen.

Könnte der Virus jetzt doch weg sein oder wieder ausbrechen??

Kann jemand mit mein Problem etwas anfangen?
Ich hoffe dass meine Schilderungen reichen.

Danke!

cosinus 16.08.2010 13:13

Hallo und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

no name 16.08.2010 14:48

Hallo und danke für die Antwort.

Soll ich jetzt beide Scans (Vollscan & Systemscan) machen und die anschließend posten?
Ist es egal auf welchem Konto ich die Scans durchführe?

LG

cosinus 16.08.2010 15:07

Ist egal, Hauptsache es hat Adminrechte

no name 16.08.2010 19:50

So die Scans habe ich durchgeführt

Hier die Ergebnisse:

Der Vollscan:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4436

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.08.2010 19:39:08
mbam-log-2010-08-16 (19-39-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 174702
Laufzeit: 25 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kfmqgdwl (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Anwendungsdaten\cfdnjtcex\jcbhmjktssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\aXGv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHOE1CLL\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001081[1] (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRALKX\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001080[1] (Trojan.Downloader) -> Quarantined and deleted successfully.

cosinus 16.08.2010 20:47

Das wird zu unübersichtlich. Wenn die Logs so nicht reinpassen, bitte beide zippen und hier anhängen.

no name 17.08.2010 12:03

Das habe ich auch schon bermerkt allerdings funktioniert es anders nicht.
Kann ich dir das per Email senden?

cosinus 17.08.2010 12:26

Lad die zip bei file-upload.net hoch und verlink das hier.

no name 17.08.2010 12:34

Dann ist hier der Link:

hxxp://www.file-upload.net/download-2753097/komplett.odt.html

richtig so?

cosinus 17.08.2010 12:44

Zitat:

komplett.odt
Hm, odt ist aber kein zip-format, das erklärt warum Du das hier nicht anhängen kannst. Geht auch, aber warum machst Du das so, wenn ich schreibe, du möchstest bitte die originalen txt-Logs zippen? :confused:

cosinus 17.08.2010 12:47

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = download.bleepingcomputer.com;*.bleepingcomputer.com;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5577
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell - "" = AutoRun
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4128e302-7728-11df-adec-0015afb6aafe}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

no name 17.08.2010 18:53

Ich habe es durchgeführt etwas posten sollte ich jetzt nicht oder?

cosinus 17.08.2010 19:48

Steht doch in meiner letzten Antwort was Du machen musst oder ist das nicht eindeutig! :confused:

no name 19.08.2010 12:10

So da kam nämlich nichts.
Ich wolllte es heute nochmal probieren und es kam so ein Log. Ich schick dir mal die Datei hxxp://www.file-upload.net/download-2758619/OTL-Log.odt.html

Gruß

cosinus 19.08.2010 17:12

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

no name 22.08.2010 12:11

Das scheint was gebracht zu haben ich habe wieder auf jeden Konto Internetzugang. :)

Hier der nächste LOG hxxp://www.file-upload.net/download-2765360/log.odt.html

cosinus 22.08.2010 18:53

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

no name 23.08.2010 11:46

GMER habe ich ausgeführt allerdings kann ich OSAM nicht entpacken.
Wie funktioniert das oder kann es weggelassen werden weil ich den GMER Log habe?

cosinus 23.08.2010 13:39

Nimm zum Entpacken von OSAM bitte WinRAR oder 7-Zip

no name 14.09.2010 16:01

Ich bekomme es nicht entpackt.

cosinus 14.09.2010 17:20

Oje, versuch das hier => File-Upload.net - osam.zip

no name 17.09.2010 19:46

Der bootkit remover lässt sich auch nicht öffnen.

cosinus 17.09.2010 19:58

Wieso denn Bootkit Remover? Was ist mit der osam.zip die ich hochgeladen habe?

no name 18.09.2010 16:20

Ich habe jetzt einen GMER und OSAM Log.
Die Datei von dir hat funktioniert.
Soll ich die schonmal einfügen?

cosinus 19.09.2010 16:42

Ja, poste bitte alle Logs, am besten alle in einer Datei gezippt und hier angehangen.

no name 20.09.2010 19:46

Was ist eine gezippte Datei?
Spontan könnte ich sie nur per Link senden.

cosinus 20.09.2010 21:07

Zitat:

Was ist eine gezippte Datei?
Google ist Dein Freund, nicht Dein Feind. Man muss nicht jede Kleinigkeit über ein Forum erfragen. Und ich kann mir auch kaum vorstellen, dass Du bisher noch nie über eine komprimierte Datei gestolpert bist, so die Hälfte aller Downloads werden in ZIPs oder RARs angeboten :balla:

WinZip, WinRAR etc. sagt Dir auch nichts :confused:

no name 24.09.2010 14:10

Ich müsste mir dann wieder ein Programm laden wozu mein PC nicht in der Lage ist..

cosinus 24.09.2010 14:22

Sry, aber eine Packfunktion hat Windows auch. Ich will jetzt nicht oberlehrerhaft klingen, aber so ein paar wichtige basics sollte man draufhaben, hilft auch weiter, wenn man Windows wieder normal benutzt und nicht gerade Bereinigungen probiert.

Was Du suchst ist: Alle Logs markieren => Rechtsklick => Senden an => ZIP komprimierter Ordner

no name 26.09.2010 17:55

Okay hat doch funktioniert :D
und jetzt wieder auf der Seite hochladen?

cosinus 26.09.2010 18:22

Die ZIP-Datei solltest Du hier doch anhängen! :wtf:

no name 26.09.2010 18:26

Hier steht nichts von anhängen. Geht nicht.
Ich habe die Datei umgewandelt und es kam ein neuer Ordner.
Warum muss denn alles so kompliziert geschehen, wenn es so einfach sein könnte?

cosinus 26.09.2010 19:11

Logs als Anhang posten

no name 03.10.2010 17:39

Hier die Logs

cosinus 04.10.2010 07:24

Mit lesen haste es wohl nicht so? Dann wär es auch nicht so kompliziert. :rolleyes:
Ich schrieb: alle Logs markieren und senden an ZIP komprimierter Ordner. So hast Du nun jede Datei einzeln gezippt...aber nun gut ich komm an die Logs ran.

Tante Edith sagt: Mach mal weiter hiermit:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

no name 04.10.2010 09:59

So hier das nächste

cosinus 04.10.2010 10:20

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 1
  • Please select the MBR code to write to this drive: 1 (für XP)
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

no name 04.10.2010 12:22

Ok.
Habe ich gemacht.

cosinus 04.10.2010 17:42

Das Fixen war nicht erfolgreich.

Code:

PhysicalDrive0 Model Number: ASUS-PHISONOBSSD, Rev: TST2.04P
PhysicalDrive1 Model Number: ASUS-PHISONSSD, Rev: TST2.04P

      Size  Device Name          MBR Status
  --------------------------------------------
      3 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
      7 GB  \\.\PhysicalDrive1  Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Was hast Du da für Platten im Rechner? Ich weiß, dass SSDs kleiner sind, aber 7 und 3 GB find ich doch etwas wenig.

no name 04.10.2010 17:56

Sorry mit Platten kann ich nichts anfangen?
Die Festplatte?
Wie gehen wir jetzt vor?

cosinus 04.10.2010 18:28

Du musst doch ungefähr wissen, welche Festplatten Du im System hast :balla:
So langsam frag ich mich, ob Du nicht besser in einer PC-Werkstatt aufgehoben wärst mit Deinem Rechner.

no name 08.10.2010 15:26

Ich habe eine ASUS-Phison SSD Festplatte.

cosinus 08.10.2010 18:38

Ist das zufällig ein eee PC? :wtf:

no name 08.10.2010 22:14

Ja. Richtig. Genau.

cosinus 09.10.2010 17:08

Ok, deswegen :)
Wofür nutzt Du die 7GB Partition?

no name 31.10.2010 18:50

Ich hab Windows und Programme drauf. Programme die ich für den PC benötige teilweise auch die, die ich von der Seite geladen habe.

cosinus 31.10.2010 19:21

Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131