|
AV Security Suite Problem/Entfernen Hallo, ich habe mich hier angemeldet weil ich ein Problem seit einigen Wochen habe. Ich war im Urlaub und kann das Problem jetzt erst versuchen zu lösen. Ich habe mir den Virus (?) AV Security Suite eingefangen. Ich war auf irgendeiner Seite und plötzlich stand unten in der Leiste neben der Uhr dieses Zeichen von dem Virus. Er hat direkt meine Daten gescannt. Ich habe direkt gegoogelt und dort fand ich heraus dass es sich um einen Virus handeln soll. Ich habe durch einige Anleitungen versucht den Virus von meinen PC zu bekommen aber es hat nie geklappt. In den Anleitungen stand, dass ich den PC neustarten soll und der Virus dann weg sein sollte aber bei mir war er immer noch da. Irgendwann ließen sich keine Dateien oder das Internet öffnen. Ich habe dann erstmal das Konto gewechselt. Auf mein Adminkonto hatte ich dann auch auf keinen Zugriff auf Dateien. Ich habe drei Konten auf meinen Rechner. Auf zwei von denen war der Virus gekennzeichnet. Auf dem dritten kann ich die ganze Zeit ungehindert arbeiten. Ich war jetzt im Urlaub und habe den PC kaum genutzt. Ich habe heute die anderen Konten ausprobiert und ich konnte jeweils wieder auf die Dateien zugreifen jedoch komme ich nicht ins Internet. Es werde auch keine Meldungen etc mehr angezeigt. Ich finde aber das die beiden Konten langsamer laufen. Könnte der Virus jetzt doch weg sein oder wieder ausbrechen?? Kann jemand mit mein Problem etwas anfangen? Ich hoffe dass meine Schilderungen reichen. Danke! |
Hallo und :hallo: Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo und danke für die Antwort. Soll ich jetzt beide Scans (Vollscan & Systemscan) machen und die anschließend posten? Ist es egal auf welchem Konto ich die Scans durchführe? LG |
Ist egal, Hauptsache es hat Adminrechte |
So die Scans habe ich durchgeführt Hier die Ergebnisse: Der Vollscan: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4436 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 16.08.2010 19:39:08 mbam-log-2010-08-16 (19-39-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 174702 Laufzeit: 25 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kfmqgdwl (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Anwendungsdaten\cfdnjtcex\jcbhmjktssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temp\aXGv.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHOE1CLL\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001081[1] (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\New\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRALKX\n002102801r0007J14000601R43329fdcX627d2e32Y2e44ff4aZ03006f3630dP000001080[1] (Trojan.Downloader) -> Quarantined and deleted successfully. |
Das wird zu unübersichtlich. Wenn die Logs so nicht reinpassen, bitte beide zippen und hier anhängen. |
Das habe ich auch schon bermerkt allerdings funktioniert es anders nicht. Kann ich dir das per Email senden? |
Lad die zip bei file-upload.net hoch und verlink das hier. |
Dann ist hier der Link: hxxp://www.file-upload.net/download-2753097/komplett.odt.html richtig so? |
Zitat:
|
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Ich habe es durchgeführt etwas posten sollte ich jetzt nicht oder? |
Steht doch in meiner letzten Antwort was Du machen musst oder ist das nicht eindeutig! :confused: |
So da kam nämlich nichts. Ich wolllte es heute nochmal probieren und es kam so ein Log. Ich schick dir mal die Datei hxxp://www.file-upload.net/download-2758619/OTL-Log.odt.html Gruß |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Das scheint was gebracht zu haben ich habe wieder auf jeden Konto Internetzugang. :) Hier der nächste LOG hxxp://www.file-upload.net/download-2765360/log.odt.html |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
GMER habe ich ausgeführt allerdings kann ich OSAM nicht entpacken. Wie funktioniert das oder kann es weggelassen werden weil ich den GMER Log habe? |
Nimm zum Entpacken von OSAM bitte WinRAR oder 7-Zip |
Ich bekomme es nicht entpackt. |
Oje, versuch das hier => File-Upload.net - osam.zip |
Der bootkit remover lässt sich auch nicht öffnen. |
Wieso denn Bootkit Remover? Was ist mit der osam.zip die ich hochgeladen habe? |
Ich habe jetzt einen GMER und OSAM Log. Die Datei von dir hat funktioniert. Soll ich die schonmal einfügen? |
Ja, poste bitte alle Logs, am besten alle in einer Datei gezippt und hier angehangen. |
Was ist eine gezippte Datei? Spontan könnte ich sie nur per Link senden. |
Zitat:
WinZip, WinRAR etc. sagt Dir auch nichts :confused: |
Ich müsste mir dann wieder ein Programm laden wozu mein PC nicht in der Lage ist.. |
Sry, aber eine Packfunktion hat Windows auch. Ich will jetzt nicht oberlehrerhaft klingen, aber so ein paar wichtige basics sollte man draufhaben, hilft auch weiter, wenn man Windows wieder normal benutzt und nicht gerade Bereinigungen probiert. Was Du suchst ist: Alle Logs markieren => Rechtsklick => Senden an => ZIP komprimierter Ordner |
Okay hat doch funktioniert :D und jetzt wieder auf der Seite hochladen? |
Die ZIP-Datei solltest Du hier doch anhängen! :wtf: |
Hier steht nichts von anhängen. Geht nicht. Ich habe die Datei umgewandelt und es kam ein neuer Ordner. Warum muss denn alles so kompliziert geschehen, wenn es so einfach sein könnte? |
|
Hier die Logs |
Mit lesen haste es wohl nicht so? Dann wär es auch nicht so kompliziert. :rolleyes: Ich schrieb: alle Logs markieren und senden an ZIP komprimierter Ordner. So hast Du nun jede Datei einzeln gezippt...aber nun gut ich komm an die Logs ran. Tante Edith sagt: Mach mal weiter hiermit: Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
So hier das nächste |
Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten |
Ok. Habe ich gemacht. |
Das Fixen war nicht erfolgreich. Code: PhysicalDrive0 Model Number: ASUS-PHISONOBSSD, Rev: TST2.04PWas hast Du da für Platten im Rechner? Ich weiß, dass SSDs kleiner sind, aber 7 und 3 GB find ich doch etwas wenig. |
Sorry mit Platten kann ich nichts anfangen? Die Festplatte? Wie gehen wir jetzt vor? |
Du musst doch ungefähr wissen, welche Festplatten Du im System hast :balla: So langsam frag ich mich, ob Du nicht besser in einer PC-Werkstatt aufgehoben wärst mit Deinem Rechner. |
Ich habe eine ASUS-Phison SSD Festplatte. |
Ist das zufällig ein eee PC? :wtf: |
Ja. Richtig. Genau. |
Ok, deswegen :) Wofür nutzt Du die 7GB Partition? |
Ich hab Windows und Programme drauf. Programme die ich für den PC benötige teilweise auch die, die ich von der Seite geladen habe. |
Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board