Trojaner-Board - Bedrohung durch 'AtiVirus Security 2011' und seine verwandten! Hab ich ihn gekillt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bedrohung durch 'AtiVirus Security 2011' und seine verwandten! Hab ich ihn gekillt? (https://www.trojaner-board.de/97118-bedrohung-ativirus-security-2011-verwandten-hab-ihn-gekillt.html)

Bedrohung durch 'AtiVirus Security 2011' und seine verwandten! Hab ich ihn gekillt?

Hallo liebes Trojaner-Board Team!

Ich hatte gerade vor kurzem ein riesiges Problem mit dem im Titel genannten VirusAgenten <--- :pfui:

Leider muss man sagen das dies nicht das erste mal ist, das er sich durch meine Abwehr schlich und versuchte auszubreiten. :headbang:

Damals hat ein Freund es gekillt! Ich habe seine Schritte nun nachgemacht und momentan ist das Programm ruhig, habe aber angst das ich vielleicht irgendwo ein Hintertürchen habe oder es nicht tot gemacht habe :twak:

Methode: Abgesicherter Modus, damit das Progamm nicht startet.
Alles löschen was laut Programmnamen mit dem Programm was zu tun hat und mit PC-Suche sicher gehen das alles weg ist dann Papierkorp leeren.
Da das Programm nicht normal deinstalliert werden kann, mit Winpatrol drüber, danach kommt bei 'Programm und Funktionen\Deinstallieren und ändern' die Nachricht das es bereits Deinstalliert ist und Name wird etfernt.
Dann mit Maulwarebytes und AVG Anti-Virus 2011 drüber und Bedrohungen bekämpfen und vernichten.

Ich möchte nun jedoch sicher gehen das der Rechner sauber ist! :heilig:

Probleme mit Hostprozess und manchmal schwarzer Bildschirm beim starten ohne Lebenszeichnen, muss ich dann eh wo anderst reinschreiben.

Meine Frage ist nun was ihr noch für Datein und Infos braucht um zu helfen?

Malewarebyte und AVG Logdatein schicke ich mit.
Die Logdatei von AVG ist ein Excelldokument daher habe ich sie euch in eine Zop-Datei umgewandelt, hoffe es hat funktioniert.

Hoffe alles war irgendwie verstendlich und ihr könnt mir helfen.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ja es gibt noch ältere von früheren scans, die ich gerne anhänge.

Mehr habe ich nicht auf meinem Rechner gefunden oder muss ich da wo anderst schaun?

Zitat:

Datenbank Version: 5096

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18999

20.03.2011 17:57:28

Du hast Malwarebytes vorher nicht aktualisiert.
Bitte updaten auf Version 1.50.xx - danach nochmal manuell die Signaturen aktualisieren, anschließend einen Vollscan machen.

So habe nun upgedatet und nochmal durchlaufen lassen und er hat tatsächlich nochwas gefunden, was mir auch ganricht so behagt.

Logdatei im Anhang

Wie gehts nun weiter?

Übrigens das Smile mit dem Kaffee ist voll stark :applaus:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

So hier sind die Log-Datein im Anhang, laut der bekommen Beschreibung

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

FF - prefs.js..browser.search.defaultenginename: "Crawler Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Crawler Search"

[2010.09.25 19:11:01 | 000,000,000 | ---D | M] (Winload Toolbar) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\{40c3cc16-7269-4b32-9531-17f2950fb06f}

[2010.08.19 21:13:39 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2011.02.02 20:52:05 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2010.02.28 13:24:57 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}

[2011.01.07 21:05:11 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\DTToolbar@toolbarnet.com

[2011.02.02 20:52:04 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\engine@conduit.com

[2010.12.28 14:58:38 | 000,000,000 | ---D | M] (BrowserDeals Preisvergleich) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ozodpv6l.default\extensions\mail@browserdeals.com

O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll (Conduit Ltd.)

O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)

O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG10\Toolbar\IEToolbar.dll ()

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)

O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN Toolbar\Platform\5.0.1423.0\npwinext.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\tbWinl.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG10\Toolbar\IEToolbar.dll ()

O4 - HKLM..\Run: []  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{c0901649-3caa-11de-8609-000fb5d81889}\Shell - "" = AutoRun

O33 - MountPoints2\{c0901649-3caa-11de-8609-000fb5d81889}\Shell\AutoRun\command - "" = J:\_AUTORUN\AUTORUN.EXE

O33 - MountPoints2\{c0901649-3caa-11de-8609-000fb5d81889}\Shell\instDX\command - "" = J:\directX\dxsetup.exe

O33 - MountPoints2\{c0901649-3caa-11de-8609-000fb5d81889}\Shell\readme\command - "" = notepad Liesmich.txt

[2011.04.04 09:59:30 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\2110078

[2011.03.20 19:44:36 | 000,009,104 | -HS- | M] () -- C:\ProgramData\u3cd3yj36x7

[2011.03.20 19:44:35 | 000,009,104 | -HS- | M] () -- C:\Users\***\AppData\Local\u3cd3yj36x7

[2011.03.20 17:01:15 | 000,009,112 | -HS- | M] () -- C:\ProgramData\4065593705

[2011.03.20 16:57:05 | 000,009,112 | -HS- | C] () -- C:\ProgramData\4065593705

[2011.03.20 16:57:05 | 000,009,104 | -HS- | C] () -- C:\Users\***\AppData\Local\u3cd3yj36x7

[2011.03.20 16:56:47 | 000,009,104 | -HS- | C] () -- C:\ProgramData\u3cd3yj36x7

[2010.02.02 21:00:50 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\hj1tXUPOjcnpH7J.vbs

[2010.02.01 22:24:07 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\pRtNs.vbs

[2010.02.01 17:36:01 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\VwlPj.vbs

[2010.02.01 16:55:22 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\IUNfgwB.vbs

[2010.01.31 18:21:01 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\pKWUrpt.vbs

[2010.01.31 14:24:14 | 000,000,058 | ---- | C] () -- C:\Users\***\AppData\Roaming\10158ded

[2010.01.31 14:02:10 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\9CwrBLxmOv6Fb.vbs

[2010.01.30 22:46:56 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\3sHtt9WLijUINYw.vbs

[2010.01.30 22:46:50 | 000,001,372 | ---- | C] () -- C:\Users\***\AppData\Roaming\j6v75LD.vbs

@Alternate Data Stream - 48 bytes -> C:\Windows:DF4B6006F3F10705

@Alternate Data Stream - 48 bytes -> \Windows:DF4B6006F3F10705

@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Da ich den Antivirus deaktivieren soll wäre es vielleicht besser ich starte diesen Schritt im abgesicherten Modus meines PCs?

Nein. Mach es bitte so wie beschrieben.

So ich habs jetzt im normalen Modus gemacht, allerdings mit abgeschalteten Internet damit kein Virus reinkommt wenn die Firewall usw. herunten ist.

Aber sag, was hat der jetzt gemacht hab ziemlich viel delet gelesen :eek:

Zitat:

allerdings mit abgeschalteten Internet damit kein Virus reinkommt wenn die Firewall usw. herunten ist.

Wer erzählt dir denn diesen Unsinn? Schädlinge fliegen nicht automatisch auf dem Rechner wenn mal die Firewall/Virenscanner deaktiviert ist, das wäre wenn überhaupt nur ein Problem wenn das dauerhaft so wäre. Und mal davon abgesehen, wie haben deine Schädlinge es in deinem Rechner geschafft wo doch immer schon Virenscanner und Firewall aktiv waren? :pfeiff: (das ist eine rethorische Frage, ich weiß wie und warum Schädlinge ins System gelangen)
Die Windows-Firewall kann eh immer anbleiben, die stört da nicht wie andere sinnfreie PFWs wie zB ZoneAlarm oder so.

Wenn du den letzten Absatz soweit von mir verstanden hast, geht es mit CF weiter. Sag Bescheid.

Ich habe zwar das in der Klammer gelesen, gebe aber trotzdem kurz den Grund an.
Ich habe Probe- und Gratisprogramme die mit dem kauf einer Vollversion oder Lizenz nerven und die machen dann um mich darauf hinzuweisen nen Firefoxbrowser auf.
Darum drehe ich immer das Internet ab wenn ich den Schutz vom PC abdrehe, muss ja die Viren usw. nicht herausforden :zzwhip:

Aber nungut lassen wir das.

Aber sag was haben wir mit dem OTL-Fix jetzt eigentlich gemacht, was bedeutet PFWs und was muss ich bei CF machen? ^.^

Zitat:

Ich habe Probe- und Gratisprogramme die mit dem kauf einer Vollversion oder Lizenz nerven

Dann verwendet man diese Programme nicht oder sperrt deren Gesuch über die Hostsdatei. Ausgehenden Verkehr kannst du prinzipiell nicht zuverlässig blockieren.
PFW bedeutet Personal Firewall - so ein Unsinn wie zB ZoneAlarm ist eine PFW.

Hier gehts jetzt mit CF weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Also ich habe jetzt den CCleaner durchlaufen lassen, laut Anleitung.

Und habe danach alles beendet und cofi.exe gestartet.

Allerdings kann ich mit keiner Logdatei dienen, weil nach dem start des Programmes mein Bildschirm blau wird so wie bei einem Absturz und er sich neu startet -.-

Was nun?