Antimalware Doctor eingefangen
 

Hallo liebes Trojaner- Board!

Nachdem ich mir heute nacht irgendwo den Antimalware Doctor eingefangen habe und trotz der zahlreichen Threads hier noch auf keinen grünen Zweig in punkto Problemlösung gekommen bin, muss ich mich leider direkt an Euch wenden und um Eure Hilfe bitten.

Ohne richtig große Ahnung von PC- Technik zu haben, habe ich zunächst versucht das Programm zu deinstallieren, was natürlich nicht funktioniert hat. Ich habe mir dann angesehen, wo die verantwortliche .exe liegt und diesen Ordner dann komplett gelöscht. Erst danach habe ich dann im Internet nachgesehen, was es mit diesem Teil auf sich hat und bin dabei auf Euch gestossen. In der Folge habe ich mir dann Malwarebytes´ Anti-Malware und Rkill runtergeladen und einen ersten Quick- Scan gemacht (Logfile im Anhang). In diesem taucht nur noch eine Datei im Papierkorb auf, die ich auch mittlerweile gelöscht habe.
Die Rkill lässt sich zwar ausführen, allerdings sehe ich nur, dass ganz unten am Rand irgendetwas bis 100 läuft und dann wird mein PC automatisch neu gestartet.
Ich habe jetzt mal einen Vollscan mit Malwarebytes und OTL gemacht ( Logfiles ebenfalls im Anhang). Dort wird zwar jetzt nichts mehr angezeigt, nach wie vor habe ich jedoch folgende Probleme:

1.) PC fährt nur sehr langsam hoch, manchmal nicht komplett.
2.) Echtzeit- Scan und manueller Scan- Versuch meines McAfee lässt sich nicht aktivieren.
3.) Der Windows- Defender ist ebenfalls dekativiert.
4.) Der PC wird immer wieder automatisch heruntergefahren.

Im abgesicherten Modus läuft er, auch mit Netzwerkunterstützung, so dass ich mich hier an Euch wenden kann.

Ich hoffe, ich konnte Euch einen ersten Eindruck meiner Probleme vermitteln, habe die Threaderöffnung richtig gemacht und bin Euch für Eure Hilfe im voraus sehr, sehr dankbar!!!

Viele Grüße,

Geschädigter

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

2.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein


gruß
Coverflow

Hallo Coverflow,

zunächst einmal vielen Dank, dass Du Dich mit meinen Problem beschäftigst und mir bei der Lösung behilflich bist! :daumenhoc

Ich habe jetzt alle Aufgaben durchgeführt und hoffentlich alles richtig gemacht. Hier sind jedenfalls die Ergebnisse:

1. TDSSKiller:


2. Hijackthis:


3. Sytemdateien und -ordner alle sichtbar gemacht

4. HJTScanlist:


5. Ccleaner: Den letzten Teil Deiner Anweisung habe ich nicht ganz verstanden, Du hattest geschrieben, dass ich dabei den Inhalt kopieren und in die Textdatei einfügen soll. Welchen Inhalt meinst Du dabei genau?
Ich habe jetzt eine .txt, die meinen bescheidenen Kenntnissen zufolge alle installierten Programme anzeigt . . .

Ja, alles richtig gemacht, ausserdem deine Antworten sehr schön übersichtlich aufgelistet:)

1.
Stelle bitte den TeaTimer ab:
C:\Programme\Spybot
Modus--> Erweiterte Modus--> Ja-->Werkzeuge--> Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.
(Tea Timer versucht positive änderungen auch zu blockieren) - soll für immer deaktiviert bleiben!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

5.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

6.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Vielen Dank, ich gebe mir Mühe, um Euch die Lösung des Problems so weit es geht zu vereinfachen!

1. TeaTimer ist abgestellt

2. Die zwei Einträge habe ich gefixed

3. MBR-Rootkit:


4. Temp- Ordner wurde geleert

5. CCleaner ausgeführt und Registry- Fehler behoben

6. Hijackthis:

Und wieder in der Hoffnung, alles richtig gemacht zu haben!

bis jetzt läuft alles gut:)

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

** Läuft dein System stabil? Hast du sonst noch Probleme?

1. Malwarebytes:


2. ESET Online Scanner:

Käse, da habe ich wohl einen Fehler gemacht. Bei der Überpfüfung hat er zwei Bedrohungen gefunden, die ich dann auch entfernt habe:

Unter dem von Dir angegeben Pfad habe ich dann aber kein log-file gefunden und statt nach "ESET" zu suchen, habe ich nach "ESAT" gesucht und so natürlich nichts gefunden. Erst als ich dann unter C:\Program Files (x86) geschaut habe, habe ich den Ordner gefunden. Ich hatte allerdings zwischenzeitlich einen neuen scan gestartet, so dass ich jetzt nur von diesem das log-file posten kann: :stirn:


Bezüglich meiner im ersten Beitrag beschriebenen Probleme kann ich sagen, dass diese mittlerweile behoben scheinen. Das Hochfahren funktioniert wieder normal schnell, der McAfee läuft wieder mit Echtzeit-San und manuellem, der Windows Defender funktioniert wieder und es hat kein ungeplantes Herunterfahren mehr gegeben.
Ein wenig verunsichertt mich allerdings die Tatsache, dass in meinem Arbeitsplatz ein neues Laufwerk aufgetaucht ist, und zwar "Q: Microsoft Klick-und-Los 2010 (geschützt)". Das könnte allerdings auch mit den Windows- Updates zu tun haben, die in den vergangenen Tagen beim Herunterfahren automatisch ausgeführt wurden.

Was ist Klick-und-Los?:-> http://office.microsoft.com/de-de/pr...101868855.aspx

Ah, alles klar, auf meinem Rechner war eine solche Variante beim Kauf vorinstalliert, bevor ich mir dann über meinen Arbeitgeber eine HUP. Version besorgt habe.

Was steht noch an Aufgaben an, die ich zu erledigen habe?

wenn Du keine Probleme mehr hast, können wir dann Deinen Thread schließen?

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)


Lesestoff Nr.1:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  Du hast die Wahl!, welche zusätzlichen Komponenten noch installiert werden sollen? -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars oder eventuell noch andere extra angebotene Programme möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Webseiten ohne Gültiges Impressum nicht besuchen
• Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!
  Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !!
Lesestoff Nr.2:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:

• Löschen der temporären Dateien in Windows
• Verlauf, Cache und Cookies: Spuren beseitigen nach dem Surfen
• hier nachlesen und hier microsoft.com
• Wenn dein System reibungslos läuft, kannst zeitweise die alte Wiederherstellungspunkte entfernen: -> http://<b>Alle Systemwiederherstellu...en löschen</b>
• Oft den PC zu optimieren nütz wenig, der braucht jetzt eine Radikalkur (nach ca. 3-4 jahren, aber hängt von der Häufigkeit der Nutzung bzw Belastung ab): Anleitung: Neuaufsetzen des Systems + Absicherung
• Staub, Fingerabdrücke, Handschweiß – PC und Peripherie sehen mit der Zeit ganz schön eklig aus, ausserdem laut, reagiert langsam und wird schnell heiß:
  -> verschmutzte PCs sauber machen
  -> Frühjahrsputz für den PC: Tipps zur Reinigung und Entrümpelung

wünsch Dir alles Gute:)

1. Erledigt

2. Erledigt

3. Erledigt

4. Vielen Dank für den Lesestoff und einen noch viel größeres Dankeschön für die Top- Hilfestellung, ohne Dich hätte ich das bestimmt nicht hinbekommen, einfach nur hervorragend!!! ;)

Thema kann damit geschlossen werden.