Immer neue Viren erscheinen auf PC
 

Hallo forum,
Ich hatte vor zwei Wochen ein Virenproblem und dachte auch gelöst zu haben. Dies scheint aber nicht der Fall gewesen zu sein den obwohl ich die ursprünglichen Viren losgeworden bin erscheinen seitdem regelmäßigen neue Viren nach einem Vollscann durch Avira AntiVir. AntiVir entfernt die Viren dann erfolgreich aber nach ein paar Tagen werden bei einem Vollscann wieder neue, andere Viren gefunden.

Ich habe die Anleitung ab Punkt 2 durchgeareitet, die Programme von Load.exe haben folgende Logs erzeugt:

Log von MBAM,
defogger_disable.log,
(Während dem ausführen von Gmer gab es einen BlueScreen, Ich habe defogger und Gmer nach dem Neustart nochmal neu ausgeführt
Auch während des zweiten Durchlaufs ein Absturz nach etwa 2 Stunden laufzeit, Bluescreen mit fgrcqpob.sys als möglicherweise
verantwortlicher Datei. Ich habe den PC während Gmer lief nicht angefasst)
OTL.txt,
Extras.txt.

Den PC habe ich bis auf weiteres vom Internet abgehängt. Für Hilfe wäre ich wirklich sehr dankbar.

Danke und Gruß

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

Gibt es noch weitere Logs von Malwarebytes?
Hallo,
nein gibt es nicht. Malewarebytes hat nichts gefunden aber ich dachte ich poste den Log der Vollständigkeit halber trotzdem.
Von gmer gibt es keinen Log weil der nicht ohne Bluescreen durchläuft.

Danke für deine Zeit und Viele Grüße

Beim dritten Versuch ist GMER ohne Absturz durchgelaufen. Im Anhang der recht lange log als zip.

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Log des Vollscan mit Malwarebytes.
Ich habe nach dem Scan lediglich die logdatei abgespeichert und nicht auf "Entferne Auswahl" geklickt aber das Programm offen gelassen für den Fall das man dies nun machen soll.

Du hast ja schon CF ausgeführt! Hätte man auch mal erwähnen müssen!
Das soll erst auf explizitem Hinweis ausgeführt werden! Poste wenigstens das Log davon.

CF (ComboFix) habe ich bei meinem ersten Versuch das Virenproblem zu lösen ausgeführt weil ich dachte meine Probleme wären denen in einem Thread hier geschilderten so ähnlich das ich die dort beschriebene Methode verwenden könnte um sie zu lösen und nicht extra einen Thread eröffenen müsste.
Leider stimmte das nicht und den CF-Log habe ich wie alles andere gelöscht nachdem ich vor 10 Tagen dachte das Problem erfolgreich gelöst zu haben.
Das war offenbar reichlich dumm, tut mir leid.

Hast du den Ordner c:\Qoobox denn noch?

c:\Qoobox ist leider gelöscht und lässt sich auch mit Freeundelete nicht wieder herstellen.
File Restore behaupet zwar den Ordner wieder herstellen zu können aber dazu müsste ich die Vollversion kaufen.
Gruß

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Alles geschehen wie angegeben.

Logfile:

Gruß

Dann bitte jetzt CF nochmal ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

• PC neugestartet um wieder eine Internetverbindung zu haben
• CC-Cleaner ausgeführt wie angegeben.
• ComboFix ausgeführt wie angegeben.

Hier das ComboFix Log:

Combofix Logfile:
--- --- ---



Gruß

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Gmer ist leider auch beim zweiten Versuch mit BlueScreen abgestürzt deswegen hier nur die logs von Osam und MBRCheck:

OSAM Logfile:
--- --- ---



Gruß!

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 1
• Please select the MBR code to write to this drive: 1 (für XP)
• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

Erstes MBRCheck log:

Zweites MBRCheck log nach Neustart:


Gruß

Ich krieg den so nicht gefixt. :mad:
Ist Laufwerk E: (das ist PhysicalDrive1) bei Dir nur eine Datenplatte?

Laufwerk E: ist nur eine Datenplatte, aber! Vor etwa einem Jahr habe ich mal eine Testversion von Windows7 auf E:\ installiert.
Diese funktionierte auch aber dann bin ich doch bei XP geblieben und seither (etwa ein jahr) wurde von E:\ nicht mehr gebooted, die WIN7-Installation ist allerdings noch drauf weil die sich nicht mehr löschen lies.
Der MBR von E:\ könnte also gelöscht werden falls das nötig wäre.

Gruß!

Dann versuch den mal so zu fixen.

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Wenn die Wiederherstellungskonsole nciht installiert wurde (von Combofix) musst Du von der XP-CD booten und von da aus in die Wiederherstellungskonsole.

Tipp dort den diesen Befehl ein

(dann Enter drücken, die Warnhinweise bestätigen)


Mit exit (dann wieder enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

Wenn ich die Recovery-Konsole beim Systemstart auswähle kommt:
'Disk Read Error Occured'
Also habe ich den PC von der WindowsXP-CD gestartet und über die dortige Konsole die Anweisungen ausgeführt.

Hier das Log-File:

Geht doch! :daumenhoc

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ich habe den PC wieder mit dem Internet verbunden um die Tools zu updaten.

E:\Windows ist die alte Windows7 installation die seit einem Jahr nicht mehr in Betrieb war und nicht mehr benötigt wird.

Hier die logs:

Malwarebytes:

SASW:

Viele Grüße

Ein paar Überreste waren da noch. Nochmal zur Kontrolle:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Alles Geschehen wie Angewiesen, hier der OTL Log:

OTL Logfile:
--- --- ---

Viele Grüße

Ich seh da nur einen Überrest. Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ich habe den Benutzernamen in Kleinbuchstaben anstelle von
Großbuchstaben zurückersetzt. Falls es deswegen nicht funktioniert hat soll ich nochmal den letzten Schritt mit dem Benutzernamen in Großbuchstaben durchführen?

Gruß

Nö war so richtig. Der Dienste wurde gelöscht, aber die Datei war schon weg. wie gesagt es war nur ein Überrest.
Noch Probleme, immer noch Funde oder nun soweit alles ok?

oh, Gut. :taenzer:

Im Moment wird von Avira im Hintergrund nix gefunden. Soll ich einen Vollscann laufen lassen um Sicher zu gehen?
Wenn ja mit welchem Scanner?

Avira? MalwareBytes? Gmer? Osam?

Gruß

Mach mal mit Avira, mit MBAM und SASW hatten wir zuletzt.

Huhu,

hier der Log von AVira. Bis auf einen Schädling scheinen alle weg zu sein. (Vorher kamem immer viele Virenmeldungen bei einem Avira-Test)


Gruß

Da sind noch Überreste in der SWH.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Systemwiederherstellung für Alle Platten deaktiviert (mit dem Häkchen wie in der Anleitung beschrieben)

Gruß

Ok, das hat alle (alten) infizierten Wiederherstellungspunkte gelöscht. Wenn Du willst kannst Du die SWH wieder einschalten.

Noch Probleme oder weitere Funde in der Zwischenzeit?

Huhu,
Die SWH werde ich mal ausgeschaltet lassen. (Benötige ich sowieso nicht)

Ich habe den PC jetzt nochmal mit allen zur Verfügung stehenden Virenscannern gescannt und mehrfach ein und wieder ausgeschaltet. Keine Funde, Nirgends. (Ging eine weile deswegen schwreibe ich erst jetzt)

Für deine Anleitung und Zeit bin ich äußerst Dankbar. Ohne diese wäre es absolut Aussichtslos gewesen und ich hätte mich von meiner Lieblingswindowsinstallation trennen müssen.

Tausend Dank und Mit freundlichen Grüßen!

ps. Gibt es hier vielleicht eine Paypal oder ähnliche Kaffeekasse in die man etwas stecken kann?

Dann wären wir durch! :abklatsch:
Die Paypal-Kaffeekasse findest Du in meiner Signatur :D


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Alles Erledigt. Das mit den Passwörtern ist zwar doof aber sicher besser als ein leergeräumtes Bankkonto.

Nochmal Tausend Dank und Grüße! :heilig: