|
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen Hallo zusammen, mein PC ist seit 1,2 Tagen ziemlich lahm und zickig (z.B. lassen sich div. Browser - Chrome, Safari - nicht mehr starten). Ein Avira-Lauf hat meine Befürchtung bestätigt, dass ich mir irgendwo div. Ungeziefer eigefangen habe. Kann mir jemand sagen, ob und, wenn ja, wie ich das Zeug wieder los werden kann??? Schon jetzt vielen Dank für Eure Mühe!!! Ich hänge hier mal das Avira-Protokoll an. Und eigentlich wollte ich auch gleich einen MBR mitliefern, aber ich scheitere schon am aktualisieren des Programmes; wenn ich auf die aktuelle Version upgraden will, krieg ich den Hinweis, dass meine (Windows-)Firewall das nicht zuläßt. Auch als ich über eine zusätzliche Regel für "C:\Program Files\Malwarebytes' Anti-Malware" den Zugriff zulassen wollte, hat das nicht geklappt! Weiß jemand Rat??? Aber hier erstmal das Avira-Ergebnis: HTML-Code: Avira AntiVir Personal |
Hallo, ich habe natürlich Beiträge im Board gefunden, wo es auch um Probleme mit vom Bootsektor-Virus (?) Alureon befallene PCs ging. Aber es wird dort immer u.a. ein Malwarebytes-Report erstellt, was bei mir schon daran scheitert, dass meine Firewall eine Aktualisierung des Programms nicht zulässt. Die Firewall einfach abschalten will ich aber nicht. Ist es möglich, Malwarebytes' Anti Malware einfach noch mal neu down zu loaden? Nachdem AVIRA jetzt bei jedem Lauf wieder Viren findet und anschließend 'repariert', bin ich ziemlich ohne Plan. Ist es vielleicht einfach so, dass gegen Alureon kein Kraut gewachsen ist und ich meine Kiste einfach wegschmeißen sollte??? Ich bitte um wenigstens eine KURZE Antwort! ClearIce |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
1. - Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool "Ccleaner" herunter installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 6. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Lade und installiere das Tool RootRepeal herunter
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Hallo Coverflow, ertmal vielen Dank, dass du dich meiner annimmst! Zitat:
Zitat:
Code: info.txtRSIT Logfile:Code: Logfile of random's system information tool 1.08 (written by random/random)Zitat:
Den Rest schieb ich hier noch nach. Wenn ich noch dazu komme! Ich hab jetzt schon Probleme beim Zugriff aufs Internet!!! :heulen: |
Hallo Coverflow, die Logs zu den Punkten 3-6 geb ich hier als Anhang mit. Anders krieg ich das nicht hier hoch. Ich hoffe, es taugt so! Schon jetzt vielen Dank für deine Mühe! Aber irgendwie hab ich kein gutes Gefühl! :heulen: :sleepy: Gruß ClearIce |
1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code: Adware :Für mich persönlich sind beide überflüssig: Code: McAfee Security Scan Plus→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code: C:\Users\******\AppData\Roaming\download2\svcnost.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) ** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code: Datei <hier kommt die Dateiname "svcnost.exe"> empfangen 2009.xx.xx xx:xx:xx (CET)Master Boot Record überprüfen:
|
Hallo Coverflow, erstmal danke für die Tipps! 1./2. Deinstallieren: Das ging bei den unkritischen Programmen (Norton, McAffee, kickin) problemlos; bei "Favorit" und "pdfforge Toolbar" geht es nicht. Bei dem Versuch "Favorit" zu deinstallieren tut er's einfach nicht, bei "pdfforge Toolbar" kommt die Meldung: "ERROR 1402 Could not open key (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Shared DLLs) Verify that you have sufficient account to that key ... (ich hatte das ganze unter meiner Admin-Kennung ausgeführt) 3. Bei virustotal herrscht ziemlich viel Verkehr z.Z. Ich hab die Datei deshalb via email übermittelt und werde das Ergebnis, sobald ich es habe, sofort hier posten. 4. Bei mbr.exe kommt meinem Eindruck nach wenig oder zumindest nichts erfreuliches raus (auch da habe ich unter der Admin-Kennung gearbeitet): Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.netSag mir bitte, wenn ich, bis zum Ergebnis von virustotal inzwischen noch was tun kann! Ansonsten schon mal vielen Dank! Gruß ClearIce |
Und hier der Virustotal-Report. Ging schneller als ich dachte: Code: 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. |
1. Programme deinstallieren:-> Revo Uninstaller Code: Favorit Gehe in den abgesicherten Modus [F8] (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen) - Abgesicherter Modus - Abgesicherter Modus mit Netzwerktreibern - Abgesicherter Modus mit Eingabeaufforderung 2. da die Datei noch Relativ unbekannt ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse: Datei Upload
C:\Users\******\AppData\Roaming\download2\svcnost.exe
|
Hallo, Zitat:
Code: Your file (svcnost.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.Zitat:
Ergänzung: Das Deinstallieren von "Favorit" und "pdfforge Toolbar" ging jetzt mit Revo Uninstaller auch ohne Probleme. ClearIce |
Das Tool "MBR" - unter dem Admin-Konto ausgeführt? |
Jaa! Eigentlich jaa! Aber ich probiers nochmal, und es sieht jetzt tatsächlich anders aus! Vielleicht weil ich's jetzt auch "als Admin" ausgeführt habe?! Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.netAber der aktuelle AVIRA-Scan zeigt natürlich nach wie vor an: Zitat:
Code: Avira AntiVir Personal |
Puuuh! Jetzt hätt ich grad fast richtig zu heulen angefangen! Ich hab nämlich mein Windows Mail aufgerufen und festgestellt, dass alles weg ist! Alles! Alle Ordner, alle Adressen, alle Einstellungen. Einfach ALLES! Ich mußte sogar mein Konto neu einrichten und kann jetzt zwar wieder mails senden und empfangen, aber alles Alte ist "gone with the wind". Kann es sein, dass ich beim Uninstall von "Favorit" und "pdfforge Toolbar" etwas zu viel gelöscht habe, oder hat das der Virus auf dem Gewissen? (Im Firefox, das ist der einzige Browser, der noch irgendwie geht, werd ich übrigens auch immer wieder auf Seiten umgeleitet, die ich nicht aufgerufen habe!) (Ich glaub jetzt trink ich erstmal ein Glas und dann muss ich mich entscheiden, ob ich ins Wasser gehe oder ein neues Leben anfange - ganz ohne Vergangenheit. Die war ja zum größten Teil in meiner Mailbox gespeichert! :crazy:) ClearIce |
wenn Du nur beide: "Favorit" und "pdfforge Toolbar" unter Software Deinstalliert hast, sollte nicht passieren bzw damit eher nichts zu tun Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) ►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! - hast Du inzwischen mit Malwarebytes erneut versucht? wenn nicht: 1. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
2. Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
Zitat:
Code: Aktualisierung fehlgeschlagen. Vergewissern Sie sich, dass Sie mit dem Internet verbinden sind und Ihre Firewall Malwarebytes' Antimalware den Zugriff erlaubtZitat:
Aber jetzt noch einmal eine prinzipielle Frage: Nachdem gestern alle meine Emails&Adressen weg waren und ich mich dafür entschieden hatte, trotzdem weiter zu leben, hab ich mich gefragt, ob es jetzt nicht einfacher wäre, mir Windows 7 zu besorgen und mein altes System komplett platt zu machen und mit Windows 7 neu anzufangen. Die Frage ist bloß, ob das (bei dem Bootsektor-Virus "Alureon", den Avira dauernd meldet) überhaupt Sinn hätte oder ob dieser Virus auch den Systemwechsel überleben würde. Muss ich mich etwa von meinem PC komplett verabschieden??? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board