|
Virus wordslife.com/index.php Hallo liebe Virus-Experten! Ich habe mir heute offensichtlich übers WEB einen Virus eingefangen, der jetzt mächtig Ärger macht und habe keine Ahnung, wie ich den wieder los werde, da ich PC-Laie bin. Ich nutze Win VISTA und den IE. Antivir hat ebenso wie SpyBot Search and Destroy nichts gefunden. Alles fing mit einer wohl gefakten Internetseiten-Meldung an, dass ich Malware auf dem Rechner habe und das System gescant werden müsse oder sowas (die Meldung kam, als ich bei h**p://www.onlinefussballmanager.de war - die Meldung kam dort heute gleich 2 Mal). Ich habe es als Fake erkannt und oben rechts aufs X geklickt um die Seite zuzumachen. Leider hat das aber nicht funktioniert und es wurde eine Windows-Kontrollseite geöffnet in der irgendwas automatisch passierte. Erschrocken habe ich sofort den Rechner manuell ausgeschaltet und neu gestartet. Seitdem öffnet sich im IE willkürlich eine Seite namens h**p://wordslife.com/index.php. Ich meine auch mal eine zufällig geöffnete Seite namens google syndicate gesehen zu haben, die sofort auf eine andere Seite mit einer sehr langen URL verwiesen hat, die ich ebenfalls eilig geschlossen habe noch bevor sie richtig geladen war. Die Google-Suche ergab, dass ein Programm namens STOPzilla diesen wordslife-Virus löschen könne. Ich habe es installiert und suchen lassen. Es hat "nur" etwas namens "Search Hijacker.H" entdeckt und geblockt. Um es löschen zu können müsste ich mich dort registrieren und das Programm für 23.95$ kaufen. Da es nicht den Wordslife.com-Virus anzeigt und man auf deutschen Seiten kaum etwas dazu findet habe ich bislang vom Kauf abgesehen. Ich hoffe, ihr könnt mir helfen mein System ohne Neuinstallation zu retten! Ich bin über jede Hilfe unendlich dankbar! Viele Grüße Marc Nachtrag: Ich habe jetzt auch malwarebytes das System checken lassen und anschließend OTL durchgeführt, so wie das von euch hier im Forum angegeben war. Leider funktioniert die Aktualisierung bei malwarebytes nicht, weshalb der Check wohl ziemlich wenig aussagekräftig ist. (Version 1.46, aktuelle Datenbank-Information: 4/29/2010, Version 4052) Es erscheint die Fehlermeldung: Ein Fehler ist aufgetreten. Bitte geben sie folgendem Fehlercode an das Malwarebytes' Antimalware Support-Team weiter: MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest). Liegt das an meinem System oder ist evtl. die Aktualisierungs-Routine von Malwarebytes gerade defekt? Hier aber mal das logfile (gefunden hat er ja trotzdem was) sowie im Anschluss die Files von OTL (Einstellung Minimal-Ausgabe, war das richtig?) Ich hoffe sooo sehr, dass mir hier jmd. helfen kann! :-) Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4052 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 26.09.2010 02:07:13 mbam-log-2010-09-26 (02-07-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 360967 Laufzeit: 1 Stunde(n), 22 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully. OTL.txt:OTL Logfile: Code: OTL logfile created on: 26.09.2010 02:29:49 - Run 1EXTRAS.TXT:OTL Logfile: Code: OTL Extras logfile created on: 26.09.2010 02:29:49 - Run 1 |
Virus-Meldung von Webseite Noch ein Nachtrag: Als ich gerade den IE wieder geöffnet und gleich ins Forum hier gegangen bin kam sofort wieder folgende Meldung: Meldung von Webseite: Warning! Your computer contains various signs of viruses and malware programs preserve. Your system requires immediate antivirus check! Antivirus 2010 will perform a quick and free online checking of your pc. Die URL lautete: h**p://95.79.230.259:11066/index.html2u=141&t=1 - Windows Internet Explorer. Ich habe das Fenster nicht angeklickt und den Rechner sofort neu gestartet. Beim 2. Versuch jetzt ist das Fenster noch nicht aufgetaucht, aber ich hab auch nur das Forum hier geöffnet. Kann mir nun jemand bei dem Problem helfen? Ich verzweifle langsam :-( Viele Grüße MWinni |
Zitat:
|
Hi Arne! Vielen Dank für deine Antwort erstmal! :-) Leider lässt sich die malwarebytes-Software nicht aktualisieren: Es erscheint auch heute immer die oben angegebene Fehlermeldung: MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest) Was soll ich tun? LG Marc |
Probier ein manuelles Update => http://data.mbamupdates.com/tools/mbam-rules.exe |
Supersupernett, dass du mir hilfst Arne! Wenn ich den Link anklicke sagt der IE aber, die Seite wird nicht gefunden...? Ich hab malwarebytes grade auch nochmal neu installiert gehabt und bekomm die gleiche Fehlermeldung bei der Aktualisierung. |
Der Virus macht auf jeden Fall gerade stetig Ärger. Die Forums-Seite war gerade auf einmal einfach weg und stattdessen wieder durch eine Webseite mit langer ip-adresse ersetzt... :-( Außerdem popt immer wieder diese wordslife.com/index.php-Seite auf. Unterbindet der Virus vielleicht sogar die Aktualisierung von malwarebytes? :-( |
Ich hab die mbam-rules mal für Dich hochgeladen => File-Upload.net - mbam-rules.exe |
Super, das hat funktioniert! Jetzt steht bei der Aktualisierung: Datum 9/19/2010 Datenbank Version: 4653 Geladene Signaturen: 281412 Das ist richtig so oder? Ich starte dann mal den Suchlauf (Vollscan oder?) und meld mich wieder sobald das durch ist. Ich bin dir wahnsinnig dankbar für deine Hilfe! Wenn ich den Virus los werde werd ich auf jeden Fall gerne auch was für eure Initiative hier spenden! LG Marc |
Ja, jetzt kannst Du ihn mal starten. Über den Updatebutton bekommt man zwar noch aktuellere, aber das funktioniert ja noch nicht. machen wir später nochmal. |
Hi! Malwarebytes hat absolut nichts mehr gefunden. Wie gehts denn jetzt weiter? Hier die logfile: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4653 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 26.09.2010 14:48:13 mbam-log-2010-09-26 (14-48-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 380216 Laufzeit: 1 Stunde(n), 16 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Ich hab jetzt auch noch SUPERAntiSpyware (nach Update auf neuste Version) scannen lassen weil das hier teilweise empfohlen wird. Er hat ein paar Sachen gefunden, aber ich glaube nur harmloses. Warte sehnsüchtig auf Hilfe für weitere Schritte! Hier das Logfile dazu: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/26/2010 at 05:41 PM Application Version : 4.43.1000 Core Rules Database Version : 5580 Trace Rules Database Version: 3392 Scan type : Complete Scan Total Scan Time : 02:16:02 Memory items scanned : 492 Memory threats detected : 0 Registry items scanned : 12884 Registry threats detected : 0 File items scanned : 265505 File threats detected : 13 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\marc@stopzilla[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\marc@www.stopzilla[1].txt akamai.smartadserver.com [ C:\Users\Marc\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] cdn4.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] cdn5.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] imagesrv.adition.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] media.scanscout.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] media.stage-entertainment.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] mediadb.kicker.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] s0.2mdn.net [ C:\Users\Marc\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] secure-us.imrworldwide.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ] ds.serving-sys.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3PAVQPBN ] s0.2mdn.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3PAVQPBN ] |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi Arne! Freu mich riesig über deine Hilfe! Ich hab das ausgeführt, musste den PC danach neu starten. Das logfile folgt hier unten. Aber weg ist der Virus nicht (auch wenn sich die drittletzte Zeile für mich so liest). Als ich den IE gerade aufgemacht habe um dir hier im Forum das logfile zu posten, hat der Trojaner die Seite umgelinkt und es kam so eine Windows-Fakeseite bei der angeblich mein System geprüft wird und in den Ordnern zig Trojanerfunde angezeigt werden. Wie gehts nun weiter? Ich hoffe, das System ist zu retten? :-( Kann es sein, dass der Virus auf dem Router hockt? Hier das logfile: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully. C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe moved successfully. File move failed. G:\Autorun.inf scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found. File move failed. G:\Launcher.exe scheduled to be moved on reboot. C:\Windows\SysNative\drivers\kgpcpy.cfg moved successfully. ADS C:\ProgramData\TEMP:F35A93AD deleted successfully. ========== COMMANDS ========== File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Marc ->Temp folder emptied: 21646861 bytes ->Temporary Internet Files folder emptied: 64523477 bytes ->Java cache emptied: 35397015 bytes ->Flash cache emptied: 35190 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 115405 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 63351137 bytes Total Files Cleaned = 177,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 09262010_211717 Files\Folders moved on Reboot... File move failed. G:\Autorun.inf scheduled to be moved on reboot. File move failed. G:\Launcher.exe scheduled to be moved on reboot. File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. C:\Users\Marc\AppData\Local\Temp\Low\Google Toolbar\GoogleToolbarWelcome.log moved successfully. File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA253.tmp not found! File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA266.tmp not found! File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA2C1.tmp not found! File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA2CC.tmp not found! File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA30C.tmp not found! File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA317.tmp not found! C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WZ621P72\ads[1].htm moved successfully. C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L9H09RQK\91140-virus-wordslife-com-index-php-2[1].html moved successfully. C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\F8C29DXX\ads[1].htm moved successfully. Registry entries deleted on Reboot... |
CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Hi Arne! Tausend Dank, dass du mir weiterhin hilfst! Hier das OTL-logfile. Ist das richtig, dass ich bei den Einstellungen unter "Ausgabe" auf "Minimal-Ausgabe" stehen habe? Wie gehts dann weiter? Kurze Anmerkung noch: beim Start des IE ist sofort auch wieder diese wordslife.com/index.php-Seite aufgegangen. NACHTRAG: Als ich meinen Eintrag gerade editiert habe und das speichern wollte, hat der IE einfach auf eine andere Seite, offensichtlich eine aus meinen Favoriten, weitergelinkt... :-( VG MarcOTL Logfile: Code: OTL logfile created on: 27.09.2010 12:37:44 - Run 2 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi Arne! Ich kann immer wieder nur sagen: Tausend Dank für die Hilfe!!!! Hier das neue logfile vom OTL. Was muss ich als nächstes tun? VG Marc All processes killed ========== OTL ========== File move failed. G:\Autorun.inf scheduled to be moved on reboot. C:\Windows\SysNative\drivers\kgpcpy.cfg moved successfully. ADS C:\ProgramData\TEMP:F35A93AD deleted successfully. ========== COMMANDS ========== File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Marc ->Temp folder emptied: 729819 bytes ->Temporary Internet Files folder emptied: 12919209 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 434 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3422 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 49621 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 13,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 09282010_115600 Files\Folders moved on Reboot... File move failed. G:\Autorun.inf scheduled to be moved on reboot. File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. C:\Users\Marc\AppData\Local\Temp\Low\Google Toolbar\GoogleToolbarWelcome.log moved successfully. File\Folder C:\Users\***\AppData\Local\Temp\~DF53A3.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DF542B.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DF962E.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DF9639.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DFEBF7.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DFEF7F.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DFF57C.tmp not found! File\Folder C:\Users\***\AppData\Local\Temp\~DFF90D.tmp not found! C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ZXN1AEGU\ofm_style[1].css moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ZXN1AEGU\vereinsseite_frameset[1].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ZXN1AEGU\vereinsseite_menu[1].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PE366T6D\iepngfix[1].htc moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PE366T6D\iepngfix[2].htc moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PE366T6D\indexCA3OZ8O3.php moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\91140-virus-wordslife-com-index-php-2[1].html moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\adsCAPOBDRZ.htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\teaminfo[2].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\vereinsseite_frameset[1].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\vereinsseite_kader[1].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\vereinsseite_menu[1].htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IQWWVGOA\wz_tooltip[1].js moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\849MMWK4\adsCANP4E4F.htm moved successfully. C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\849MMWK4\adsCAO1VFL0.htm moved successfully. Registry entries deleted on Reboot... |
Hi Arne! Der Trojaner ist weiterhin aktiv. Bei kurzer Nutzung des IE öffnete sich gerade zunächst: hxxp://de.yahoo.com/?p=us und dann direkt wieder: hxxp://wordslife.com/index.php während ich hier im Trojaner-Board schreiben wollte :-( Hoffe du kannst mir weiterhelfen! :-( Viele Grüße Marc |
Kannst Du Malwarebytes denn mittlerweile aktualisieren? |
Nein, das geht leider immer noch nicht. Es kommt die gleiche Fehlermeldung wie beim ersten Mal: MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest). Oder muss ich das Programm nochmal de- und neu installieren? |
Blöderweise hast Du ein 64-Bit-Windows, bei dem mächtigere Tools, die ich sonst einsetze, nicht funktionieren. Sie laufen nicht in einem 64-Bit-Windows. Probier hiermit Dein Glück => Kaspersky Rescue Disk: Boot-CD mit Virenscanner (ISO-Image) ... ScareWare.de Oder sichere gleich alle Daten und mach eine saubere Neuinstallation von Windows. |
Ich versuche es mal mit dem Kaspersky-Programm und melde mich dann wieder! Worauf muss ich denn da gleich achten? Gibts dann auch ein logfile das ich dir schicken kann? Und 2 andere Fragen habe ich noch: 1) Falls ich um eine Neuinstallation nicht herumkomme: Kann ich alle meine wichtigen Daten auf eine DVD brennen ohne dass der Virus dann mit draufhüpft und beim Rücktransport auf das frisch aufgesetzte System wieder mit über tritt? 2) Ich habe immernoch dieses seltsame Programm StopZilla installiert. Ist das sauber oder sollte ich es besser deinstallieren? Frage weil ich so wenig Infos über das Programm gefunden hatte. Ich hoffe immernoch, dass ich um die Neuinstallation herumkomme. |
Zitat:
Zitat:
|
Hi Arne! Ich hab die iso-Datei auf eine CD gebrannt, aber ich schaffe es scheinbar nicht, dass das System beim Neustart darauf zugreift. Wenn ich beim Hochfahren ESC drücke kommt ein Windows-Menü, in dem ich den Start von Win Vista oder eine Art Systemcheck (irgendwas mit Arbeitsspeicher) von Windows auswählen kann, der aber nichts mit Kaspersky zu tun hat. Achja und mit F8 kann ich noch einen Start im abgesicherten Modus machen, aber das ist ja auch nicht das richtige ne? Was mache ich nur falsch? Krieg langsam ne ähem nennen wir es "leichte Krise"... :-(( VG Marc P.S: StopZilla hab ich runter geschmissen, immerhin scheint das geklappt zu haben, seufz. |
Zitat:
Ein ISO darf nicht einfach auf eine CD als Datei wandern, sondern kannst Du von dieser CD nicht booten. |
Und wie mache ich das unter Windows? Lege ich die CD/DVD ein, fragt mich Win gleich ob ich einen Datenträger oder was für Audio-Dateien oder so haben will. Da klick ich dann wohl erstmal auf abbrechen ja? Ich hab kein Brennprogramm auf dem Rechner installiert. Brauche ich so etwas dafür? |
Ja Du brauchst ein Brennprogramm. Nimm ImgBurn - Download - CHIP Online |
Hi Arne! Ich hab Kaspersky Rescue drüber laufen lassen. Hat fast 3 Stunden gedauert und das Ergebnis lautete: "Es wurden keine Bedrohungen gefunden". :-( Interessant: Das Ganze habe ich gestern abend noch durchlaufen lassen und den PC dann ausgemacht. Als ich ihn gerade wieder hoch gefahren hab, hat sich der Virus sofort wieder richtig aggressiv zurückgemeldet - wie so oft nachdem wir hier irgendwas versucht haben. Ich hab ein IE-Fenster aufgemacht. Das hat er sofort nach Eingabe einer URL weitergelinkt, dazu 2 weitere Fenster geöffnet und wieder dieses Fenster geöffnet mit der gefakten Viruswarnung: Meldung von Webseite Warning! Your computer contains various signs of viruses and malware programs preserve. Your system requires immediate antivirus check! Antivirus 2010 will perform a quick and free online checking of your PC! Ich hab daraufhin nichts mehr angerührt und den PC manuell am Tower runtergefahren und jetzt wieder rauf. Hab bislang nur das Forum geöffnet hier ohne dass das wieder aufgetaucht ist, aber der Virus scheint auf jeden Fall noch weiter aktiv. Hast du noch irgendwelche Ideen was wir machen können? Malwarebytes lässt sich weiterhin nicht aktualisieren, hab ich gerade schon kurz gecheckt. Ich hatte irgendwo gelesen, dass sich dieser wordslife-Trojaner/Hijacker auch in den Router reinfrisst. Kann das die Ursache dafür sein, dass wir ihn nicht loswerden und gibts da vielleicht noch nen Ansatzpunkt? Ich würde wirklich ungern mein System neu aufsetzen, u.a. weil ich als Anfänger sicher Schwierigkeiten damit habe. Und falls sich der Virus über den Router immer wieder neu "installiert": wäre der dann mit einer Vista-Neuinstallation weg? Fragen über Fragen, ich hoffe du hast noch Zeit, mir zu helfen! Bin heut mit Ausnahme eines Termins um 13:30 Uhr die ganze Zeit zuhause und will das Problem heute aus der Welt schaffen. EDIT: Unmittelbar mit Abschicken dieses Eintrags hat der Virus diese Seite erneut umgelinkt auf eine wie "google" aussehende Seite die "My Computer Scan" als Titel hatte und es öffnete sich erneut das beschriebene Warning-Fenster! Ich habe wieder den Rechner einfach so manuell am Tower ausgemacht und jetzt erneut neu gestartet um auf deine Anweisungen zu warten ;-) EDIT 2: Habe gerade noch eine 2. Seite geöffnet, sofort kam ein Fake-Popup von yahoo dazu mit dieser Adresse: hxxp://de.yahoo.com/?p=us VG Marc |
Zitat:
Zitat:
Mit viel Glück kannst Du mal mit einem sfc /scannow die Systemdateien reparieren lassen und dann hoffen, dass der Schädling weg ist. In den Logs seh ich jedenfalls nichts mehr. |
Hi Arne! Wirklich bitter, ich achte eigentlich immer sehr genau darauf, was ich runterlade und was nicht. Habe absolut nichts illegales auf dem Rechner, nicht mal ein illegal gesaugtes Lied oder sowas... :-( Was diese Router-Geschichte angeht hab ich das anders gemeint: Ich hatte das beim Lesen so verstanden, dass ich den Virus übers Netz erwischt habe und er dann den Router MITinfiziert. Also nicht, dass er über den Router gekommen ist, sondern da jetzt auch mit drin hängt und sich das Teil deshalb nicht richtig entfernen lässt. Oder ist das nonsense eines Laien? ;-) Bei scannow hab ich auch wieder ein Problem. Es kommt die Meldung: "Sie müssen als Administrator angemeldet sein und eine Konsolensitzung ausführen, um das SFC-Programm verwenden zu können." Auf meinem Rechner bin ich der einzige Nutzer mit dem einzigen Benutzerkonto. Dachte somit, dass ich auch der Administrator bin? Was muss ich da tun? Oder liegts an dem "Konsolensitzung ausführen"? Ich habe das Fenster mit der Eingabeaufforderung über die Windows-Hilfe gefunden und geöffnet - aber das sollte doch das richtige sein oder? LG Marc |
Zitat:
|
Öhm und wie "macht man ne cmd.exe" aufn Desktop? :balla: EDIT: Schon selbst geschafft, wow... ;-) |
Rechtsklick auf nen freien Bereich im Desktop => neu => Verknüpfung => cmd.exe eintippen => fertisch |
Hi Arne! Tja, das scannen der Systemdateien hat auch nichts ergeben: Der Windows-Ressourcenschutz hat keine Integritätsverletzungen gefunden." Und nu? :-( Noch irgendwelche Ideen, die mich vorm Systemneuaufsetzen retten könnten? EDIT: Bin von meinem 14 Uhr-Termin schon zurück... falls du grade Zeit hast, wäre es super, wenn du mir ein paar weitere Infos zu kommen lassen kannst. Sicherheitshalber wollte ich schonmal meine Daten speichern (dauert ja ne Weile und dürfte sowieso mal ne gute Idee sein). Du schreibst: ausführbare Dateien darf ich nicht mit speichern. Dazu zählen dann vermutlich auch mp3s? Und was ist mit jpegs oder z.B. Speicherständen von Spielen? Und mit Sprachdateien meiner Sprachsoftware? Oder meinst du damit nur reine .exe-Dateien? Hast du evtl. ne Auflistung was erlaubt ist und was nicht? Und wenn ich das System neu aufsetzen muss.. was muss ich da genau tun? Format C und dann die Vista-CD rein und den Anweisungen folgen? Mir wird schon ganz schlecht bei dem Gedanken daran... |
Zitat:
|
Hi Arne! Also siehst du keine Alternative mehr zur System-Neuaufspielung ja? :-( Grüße Marc |
Nein nicht mehr. Mächtigere Tools funktionieren ja leider nicht. |
Echt ärgerlich, dass ich so ein blödes 64bit-System hab... das lässt sich auch nicht austricksen um eins von den mächtigeren Tools einzusetzen was? Wenn ich die Neuinstallations-Anleitung richtig verstehe darf ich auch Download-Dateien wie das neuste Service Pack für Vista auf DVD brennen und dann einsetzen? Ist aber doch auf jeden Fall eine Ausführende Datei oder? |
Zitat:
Mit Vista solltest Du aber auch so ins Netz können. Du hast doch einen Router? Heißt also Du updatest über das Windows-Vista-Update wenn Du es frisch installiert hast: Microsoftupdate Windows Vista/7: Anleitung Windows-Update Ändere am besten auch alle Passwörter danach. |
Ein anderes System hab ich nicht in Reichweite... heißt also alle exe-Dateien von meinem alten System darf ich nicht mitkopieren, bspw. auch die Installationsdateien der Virenprogramme nicht ja? Und kann ich es nun riskieren, erstmal Vista neu zu installieren und online das Service Pack sowie alle Virenprogramme etc runterzuladen, d.h. ohne Schutz am Anfang? |
Ich hab Win Vista gerade neu aufgespielt, alle Updates runtergeladen und den mitgelieferten Norton Virus Scanner installiert. Jetzt rufe ich diese Seite auf um zu schauen was ich noch machen muss und was passiert: Es öffnet sich wieder diese wordslife-Virusseite! Außerdem öffnen sich immer wieder andere Fakeseiten wenn ich versuche andere Seiten aufzurufen, sowohl im IE als auch mit Firefox... Wenn ich malwarebytes runterlade kann ich auch weiterhin die Version nicht aktualisieren.. gehört das zu meinem Problem oder ist das derzeit ein generelles Problem des Herstellers? Was tue ich jetzt? Ich bin geschockt!!! :-( |
Ich glaube, ich habe des Rätsels Lösung und zwar dank einer PN eines anderen gebeutelten Lesers! Die Malware verbreitet sich tatsächlich über den Router, sie verändert da die DNS-Einträge und macht so die Verlinkungen auf wordslife und Co. möglich. Lösung des Problems: Router reseten, die Software neu installieren und dabei sofort ein neues und NICHT das Standard-Passwort vergeben! Ich teste erst seit ein paar Minuten, aber ich glaube die Fake-Seiten tauchen nicht mehr auf :-) Was für ein Marathon samt Neuinstallation des ganzen Systems. Ich hoffe, der Eintrag hier hilft anderen Geschädigten, das Problem schneller zu lösen. |
Ja, da hab ich schon von gehört, dass es malware gibt, die es auf den Router abgesehen hat. Deinen Rechner hättest Du wohl aber eh formatieren müssen, da die Datei C:\Windows\SysNative\drivers\kgpcpy.cfg immer wieder auftauchte, auch nach mehrmaligen OTL-Fixes :( Hast Du Deinen Router nicht vernünftig abgesichert? Das erst was man macht ist das Standardpasswort ändern! |
Hi Arne! Dummerweise hab ich damals das Standard-PW stehen gelassen weil ich zu schnell weitergeklickt hatte und danach wars vergessen, weil ich froh war, dass der Router irgendwann lief. Ich hab das Teil jetzt manuell resetet gehabt, dann die Software neu installiert und dabei direkt neue Passwörter vergeben. Das sollte jetzt reichen oder? Meine wichtige Frage lautet jetzt noch: Der Virus ist NACH der Neuinstallation des Vista-Systems ja gleich wieder aufgepoppt. Jetzt nach dem Router-Reset tut er es nicht mehr, aber schlummert er dann nicht noch auf meinem System irgendwo rum? Malwarebytes (in der upgedateten Version :-)) zeigt keine Infekte an, aber soll ich dir sicherheitshalber nochmal ein logfile von OTL erstellen? LG und tausend Dank für die Hilfe! Ich hoffe, andere sehen Betroffene finden den Eintrag im Forum und können dann schnell handeln :-) Marc |
Zitat:
Mach aber nochmal zur Kontrolle ein frisches OTL.txt |
Hi Arne! Hier das logfile von OTL.txt: Noch eine Frage (wenn alles sauber ist): Bei der Neuinstallation von Vista hat das Programm meine alte Windows-Version unter "windows.old" komplett gespeichert - sind 24,6 GB. Kann ich die einfach so löschen? Oder sind da noch wichtige .dll-Dateien drin die gebraucht werden oder sowas? Ansonsten brauche ich das ja nicht mehr und es nimmt nur unnötig Platz weg. Und hast du sonst noch Tipps, wie ich das System sicher mache? Ich habe jetzt erstmal nur antivir wieder aktiv und die windows firewall. Und an die Tipps aus dem Neuinstallations-Thread hab ich mich gehalten (außer das eingeschränkte 2. Benutzerkonto bislang wg. der win updates). VG Marc Tja, das logfile ist zu lang und wenn ich es gestückelt hier reinsetzen will bekomme ich immer wieder eine Fehlermeldung. Was nun? |
Hatte angefangen, das in Stücken zu schicken, aber das macht auch keinen Sinn. Als PN ausnahmsweise Arne? |
Das Board scheint irgendwie buggy zu sein, wenns um große Datenmengen geht. Musste hier nochmal was überschreiben, sorry. |
Du kannst es doch einfach zippen und hier anhängen... |
Stimmt, hatte nicht gesehen, dass man auch was anhängen kann. Danke! Bin gespannt auf dein Urteil.. |
Sieht ok aus :) |
Super! Vielen vielen Dank nochmal für die Mühen! Hast du sonst noch Tipps was die Sicherung des Systems angeht? VG Marc |
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board