Guten Tag, ihr lieben PC-Spezialisten,
wie es aussieht habe ich mir leider Gottes einen Virus eingefangen. Scheinbar dürfte das Problem auch mehr oder weniger bekannt sein. Ich bin durch einige Google-Recherchen auf das Forum hier aufmerksam geworden. Und zwar werde ich, wenn ich bei Firefox etwas über Google suche, auf fremde Seiten umgeleitet. Das alles geschieht meistens über "Thealltimes.com". Mit dem Internet Explorer scheint noch alles zu funktionieren. Mein PC hat Windows 7 (64 bit).

Bei meinen Recherchen bin ich zudem auf 2 Threads aus diesem Forum gestoßen:

1.) http://www.trojaner-board.de/107279-...times-com.html

2.) http://www.trojaner-board.de/93211-g...che-poste.html

Da es in Thread 1.) aber heißt, dass manche dort geposteten Scripts lediglich für den Threadposter gedacht sind, wollte ich mir sicherheitshalber einen eigenen Thread aufmachen. Würde mich auch sehr freuen, wenn mich hier der ein oder andere etwas durch das komplette "Beseitigungsprozedere" begleiten würde, weil ich, was Trojaner etc. angeht, echt überhaupt keine Ahnung habe.

Wie in Thread 2.) beschrieben scheine ich mir den Virus über einen Keygen geholt zu haben, den ich voller Leichtsinn nach etlichen beschwerdefreien Jahren geöffnet habe (Schande über mein Haupt!). Den Keygen habe ich gestern geöffnet. Der PC ist also heute das erste Mal nach diesem Vorfall an. Habe bisschen Schiss, dass jetzt gar nichts mehr geht, wenn ich ihn nochmal ausschalten sollte?

Zudem schreibt "trojanermemb", dass es sich hierbei um einen Trojaner im Masterbootsektor der Festplatte handelt. Den könne man mit einigen Tools überschreiben und ersetzen. Wär's echt so einfach?

Das ist so der Stand der Ding. Würde mich freuen, hier ein paar Anleitungen finden zu können. Momentan läuft AntiVir noch, aber ich denke, dass es vermutlich sowieso nichts finden wird. Ansonsten wäre es natürlich klasse, wenn es irgendwie eine Möglichkeit geben würde, bei der der Aufwand nicht so groß ist und ich den PC nicht zwingend neu aufsetzen muss.

Danke im Voraus!

hi,
1. kannst du mir die seite senden wo du dir den keygen geladen hast? als private nachicht bitte.

Müsste ich gleich mal schauen, ob ich die noch irgendwo habe. Wenn ich mich nicht irre, habe ich den Keygen sogar von einem Filehoster geladen. Beiß mir selbst so in den Arsch, dass ich das Ding so leichtsinnig geöffnet habe.

Habe eben ja AntiVir und Malewarebytes drüber laufen lassen. Allerdings kam dann ganz plötzlich die Nachricht, dass ein Problem gefunden wurde und Windwos jetzt heruntergefahren wird, damit keine größeren Komplikationen auftreten. Bis dahin hatte AntiVir allerdings schon 7 Funde geliefert. Jetzt lasse ich erst nochmal Malewaresbyte alleine laufen. Das erneute Hochfahren hat dann auch was länger gedauert.

hi, ich möchte mit dem link nur rausfinden was genau dein pc hatt, ich kann dir aber nicht bei der entfernung der malware helfen, da wir illegal genutzt software wie keygens nicht unterstützen.
ich helfe dir beim neu aufsetzen, und möchte daher sehen ob noch vorbereitungen zu treffen sind.
wenn du den keygen noch hast, nehme ich den auch:
Trojaner-Board Upload Channel
da hochladen bitte

Den Keygen habe ich leider auch nicht mehr! Wollte das Ding direkt loswerden. Dürfte sich aber eigentlich um nichts Illegales handeln - zumindest nicht bewusst. Wie gesagt, hab's von einem Filehoster geladen mit der Gewissheit eine Demoversion zu erhalten. Bitte seid gnädig mit mir!

Danke schon mal für deine Hilfsbereitschaft! Wäre aber echt super, wenn man das irgendwie ohne Neuaufsetzung über die Bühne bringen könnte!

naja, du schreibst am anfang du hast dir nen keygen geladen, worum solls sich denn sonst handeln wenn nicht um was illegales um ne software freizuschalten, zu nichts anderem sind keygens gut.
ich kann dir daher wie gesagt beim daten sichern, formatieren und absichern des pcs helfen

Wie gesagt, ich habe mir nicht bewusst einen Keygen runtergeladen, um irgendein Programm freizuschalten. Der Keygen war anbei der anderen Dateien. Keine Ahnung, warum der Uploader den dazugepackt hat. Ob ich da jetzt versehentlich draufgeklickt habe oder wie auch immer, weiß ich nicht mehr. Das ist gestern alles etwas unter Stress abgelaufen.

Wäre auf jeden Fall superlieb, wenn du mir auch beim Entfernen der Malware helfen könntest. Falls nicht, muss ich das so wohl leider akzeptieren und würde dann auf dich zurückkommen, wenn ich keinen anderen Weg gefunden habe, um eine Neuaufsetzung irgendwie zu umgehen!

du solltest ein neu aufsetzen nicht umgehen, denn du hast zu 99 % warscheinlichkeit nen rootkit.
machst du onlinebanking einkaäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges mit dem pc?
warum läd man sich spiele bei nem file hoster, wo jeder seinen müll hochladen kann, kein wunder das man sich früher oder später infiziert.

Was genau ist ein Rootkit? Ich würd's direkt googeln, wenn's funktionieren würde! Ganz selten bestelle ich mal was über's Internet. Aber von den Symptomen her scheint das doch quasi dasselbe Problem zu sein, wie es in den zwei Threads, die ich gepostet habe, beschrieben wird, oder?
Was wäre jetzt der erste Schritt? Die LogFiles von Malewarebytes kommen sofort, wenn der Scanvorgang fertig ist!

Hier mal die Logfiles von Malewarebytes. Scheint wohl noch so einiger anderer Schrott gefunden worden zu sein.

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3526
Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

20.01.2012 17:26:52
mbam-log-2012-01-20 (17-26-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 405691
Laufzeit: 1 hour(s), 15 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Program Files (x86)\PriceGong\2.5.1\PriceGongIE.dll (Trojan.PriceGong) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{8b3372d0-09f0-41a5-8d9b-134e148672fb} (Trojan.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1631550f-191d-4826-b069-d9439253d926} (Trojan.PriceGong) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550f-191d-4826-b069-d9439253d926} (Trojan.PriceGong) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550f-191d-4826-b069-d9439253d926} (Trojan.PriceGong) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550f-191d-4826-b069-d9439253d926} (Trojan.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d2a2595c-4fe4-4315-aa9b-19dbd6271b71} (Trojan.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\pricegongie.pricegongctrl (Adware.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\pricegongie.pricegongctrl.1 (Adware.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{835315fc-1bf6-4ca9-80cd-f6c158d40692} (Adware.PriceGong) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pricegong (Adware.PriceGong) -> No action taken.
HKEY_CLASSES_ROOT\AppID\PriceGongIE.DLL (Adware.PriceGong) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files (x86)\PriceGong (Adware.PriceGong) -> No action taken.
C:\Program Files (x86)\PriceGong\2.5.1 (Adware.PriceGong) -> No action taken.

Infizierte Dateien:
C:\Program Files (x86)\PriceGong\2.5.1\PriceGongIE.dll (Trojan.PriceGong) -> No action taken.
C:\Program Files\Adobe\Adobe Premiere Pro CS5.5\ScriptAlign\ScriptAlign.exe (Malware.Tool) -> No action taken.
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\z19cn8yb.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}\components\PriceGongFF.dll (Trojan.PriceGong) -> No action taken.
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\z19cn8yb.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}\components\PriceGongFF_50.dll (Trojan.PriceGong) -> No action taken.
C:\Program Files (x86)\PriceGong\uninst.exe (Adware.PriceGong) -> No action taken.
C:\Program Files (x86)\PriceGong\2.5.1\PriceGong.crx (Adware.PriceGong) -> No action taken.

hi, der erste schritt ist neu aufsetzen.
ein rootkit bietet dem angreifer volle kontrolle über das system.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.