VB.Ahir und weitere Probleme
 

Hallo.

Seit ca. einer Woche bekomme ich mehrmals täglich von AVG Antivirus die Meldung es befände sich der Virus "VB.Ahir" auf meinem PC, unter dem Dateinamen c:\aa.exe.
Ich lasse ihn danach immer entfernen, jedoch kommt die Meldung immer wieder. Des weiteren kommt mir mein PC in den letzten Tagen sehr langsam vor, AVG findet zwar sonst nichts, aber ich meine da müsste noch mehr sein.

Was kann ich gegen VB.Ahir machen bzw gegen das wiederkommen?

Danke,
chaoticoz

EDIT: Habe gerade die Checkliste gesehen und lasse die Tools jetzt durchlaufen, tut mir leid dass ich das nicht vorher gemacht habe. Werde dann hier reineditieren.

So, die Scans sind jetzt fertig.
Habe die Logfiles als .zip angehängt da die Antwort zu lange war.

Extras.txt wurde bei mir nicht erstellt, ich hoffe ihr könnt mir trotzdem helfen.

Danke,
chaoticoz

Leider noch keine Antwort :(

Was auch sehr merkwürdig ist ist folgendes: Jedesmal wenn ich eine .txt Datei mit Notepad öffne, kommen zwei Fehlermeldungen und es öffnet sich eine DOS-Box die ctfmon.exe ausführt und es werden irgendwelche zeichen angezeigt.
Schwer zu beschreiben deswegen ein Video:



Danke,
chaoticoz

kann mir wirklich nicht geholfen werden?

bitte nicht beachten

Begründung? Problem gelöst? Wenn ja wie?

Nein das "bitte nicht beachten" war auf den Post bezogen in dem vorher stand "ich pushe das mal" habe danach gelesen das man nicht pushen soll. Problem besteht weiterhin.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

EDIT: Laut dem Log scheint ja alles OK zu sein, habe die Probleme aber immer noch.

Ich seh ja jetzt erst, dass Du schon CF ausgeführt hast!
1.) Wieso machst Du das auf eigene Faust, wo doch überall steht, dass man CF nur auf Anweisung hin erst ausführt?
2.) Wenn Du es schon ausgeführt hast, warum postest Du nicht gleich das Log dazu?

Hatte per Suche diesen Thread gefunden: http://www.trojaner-board.de/90020-t...-c-aa-exe.html

Der User der in erstellt hat hatte wohl auch das Problem mit aa.exe und ihm wurde geraten Combofix auszuführen. Allerdings gab es beim Ausführen einen Fehler, worauf ich nicht mehr weiter versucht habe.

Danke für die Antworten,
chaoticoz

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Datei: Qoobox.zip empfangen

Vorgang erfolgreich abgeschlossen.

AVG war aus.

EDIT: sehe grad der Ordner ist quasi leer.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

h**p://wwv.cz3.net/indexn7.htm
Die Seite hat sich gerade einfach so geöffnet?

Probier CF bitte nochmal, aber so:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Das gleiche nochmal. Nimm aber diesmal dieses Script als CFScript.txt:

Hm diesmal hats nicht ganz geklappt. Siehe Bild.

Sorry, eine Minute später gings dann doch weiter, Hier das Logfile:

Und nochmal :D

:)

shice wir kommen so nicht weiter :balla:

Ich hab Dir die drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 ist) folgende Dateien um, einfach ein .vir dranhängen:

Code:

---

/windows/system32/winlogon.exe.vir
/windows/system32/ctfmon.exe.vir
/windows/explorer.exe.vir

---

7. Kopiere die sauberen Dateien aus dem cosinus-Ordner in die entprechenden Pfade rein:

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben :)

Bekommste das noch hin oder ist Dein Rechner jetzt total ausgefallen? :confused:

Hallo,

sorry das es so lange gedauert hat, hatte viel um die Ohren.

Habe alles erledigt, Dateien hochgeladen und hier ist nochmal ein ComboFix Logfile:

Laut VirusTotal sind die Dateien wohl mit dem Trojaner Barital infiziert.

Hat offensichtlich geklappt. CF zeigt keine Infektionen dieser drei Dateien mehr an.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER erzeugt jedesmal Bluescreen (4* probiert).
Euer OSAM link ist down, hab es von ner anderen Seite geladen. Hier das Logfile:

Achja, die OSM Database ist auch down, also kein online abgleich der Daten.

MBRCHECK:

Der MBR scheint ok zu sein?

Unser Link ist das nicht :crazy: das ist der Link direkt zum Urheber von OSAM ;)
Von wo genau haste es geladen?

Sieht ansonsten ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hxxp://www.online-solutions.ru/files/osam_autorun_manager_portable.rar

Muss jetzt allerdings weg, mache die scans später/morgen.

Vielen Dank für die Hilfe!

MBAM:

SASW:
wie siehts aus? habe die Funde mit SASW entfernt.

Da wurden nur ein paar Cookies und Überreste gefunden. An für sich harmlos.

Kannst Du das zuordnen?
Noch Probleme oder weitere Funde in der Zwischenzeit?

Ja, es öffnen sich beim Start von Windows 6 Internet Explorer die nichts anzeigen. Also sie versuchen eine Seite zu laden, die aber nicht reagiert.

Und seit heute beim Start das hier:



EDIT: PlatinumPlay ist von einem Online Casino meine ich.

Kingsoft sagt mir so garnichts. Scheint ein Virenscanner zu sein, der mir noch unbekannt ist. Kannst Du das Teil nicht deinstallieren? :wtf:

Habe hxxp://greatis.com/blog/how-to-remove-malware/wd-kswebshield-exe-fakeav-kingsoft-antivirus-webshield-service-kswbc-dll-kswebshield-dll-kwssp-dll-kwsui-dll.htm gefunden. Werde die Schritte mal durchgehen.

Ne idee zu den Internet Explorer Fenstern?


EDIT: kingsoft fake av ist gelöscht.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Habe den Dienst jetzt beendet. er hatte die DLL's kswebshield und kwsui.dll in ca 20 Programme injiziert, habe alle beendet, die DLL's gelöscht und schreibgeschützte dummy Dateien mit dem Namen erstellt damit sie nicht wieder erstellt werden können. Ich versuche rauszufinden was versucht die Dateien zu erstellen.


EDIT: Hat wohl was geholfen, irgendwas versucht immer noch die KSWebshield.exe auszuführen aber klappt natürlich nicht. ausserdem wird nur noch 1 Internet Explorer Fenster geöffnet. ich suche weiter.. vorallem WAS versucht die Datei zu starten.

Mach nochmal CF - die alte cofi.exe vorher löschen!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Außerdem brauch ich den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

hab hochgeladen.

Kurze Zwischenfrage: wie ist es um Deinen Rechner bestellt? Noch Probleme?

Mach bitte abschließend zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Habs jetzt. C:\Dokumente und Einstellungen\All Users\Programme\Autostart\nsl22.tmp.exe

Alle Probleme weg. Mache heute nochmal MBAM scan später.

hxxp://www.virustotal.com/file-scan/report.html?id=add82962da5ebe9cd447a4ddc45cd0fe2c3a0e8f6cd652d3fc75356730b963cd-1287318348

Hm, die Datei tauchte aber in den anderen Logs nicht auf. Wie hast Du die gefunden?

nehme alles zurück, siehe anhang.

erstellt sich selbst unter anderem namen ;o

mit OSAM.. aber sie erstellt sich jetz wieder selbst konnte noch nicht rausfinden wie..
aber sie ist verantwortlich für Kingsoft. die Kingsoft dateien kann es zwar nicht mehr erstellen weil ich schreibgeschützte dummies platziert hab aber esöffnet immer einen internet explorer..

Frisches OSAM log: OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]


EDIT:

hmm?

Das war vorher im OSAM-Log nicht da!
Der von Dir zitierte Eintrag ist eine MS-signierte Datei! Hast Du zufällig während der ganzen Prozedur Daemon-Tools installiert bzw. reaktiviert?

Die waren vorher auch nicht da. Schau mal unter (Logon) in OSAM nach, in der Rubrik sind diese Einträge. Bitte deaktivieren und löschen.

Das sind die von dem Screenshot. habe sie schon gelöscht.. die erstellen sich aber wieder neu

Das kam aber alles erst später. Ich weiß nicht, was Du genau zwischendurch gemacht hast. Im ersten OSAM Log waren die Teile jedenfalls nicht da.
Schonmal drüber nachgedacht, das System plattzumachen? Man kann nicht jedes System mit einem einigermaßen vertretbaren Aufwand wieder bereinigen. :balla:

im Moment kommen die Daten nicht wieder (habe neu gestartet) Ich warte mal ab, und starte jetzt MBAM vollscan.

Was sagst Du zu den Visual Studio 2010 Projekten?

Gute Frage nichtlustig ist ein Programm das von nichtlustig de das aktuelle Bild als Wallpaper setzt und das andere ist eine art Addon für ein Spiel beides definitiv nicht mit Viren verseucht.