Live Security Plantinum

Hallo,

wie viele andere hab ich mir diesen live security plantinum virus eingefangen. Habe schon viel hier nachgeschaut jedoch verstehe ich von log eintragen usw. Nicht sehr viel... Also bitte eine einfache erklaerung wie bei vielen hat sich der virus warscheiblich durch einen veralteten java uppdate eingeschlichen... Norton (mein virenschutz) hat erst eine angriff blockiert, dann eine datei geloescht und dann hat sich der virus installiert... Hab dann erstmal internet getrennt und heruntergefahren bevor ich irgendwas falsch mach... Problem ist halt weil wir gerade umziehen und ich heute eigentlich eine sicherungskopie mqchen wollte... Wuerde ausserdem gerne daten noch retten wenn moeglich da ich viele daten nicht verlieren moechte.

Hoffe ihr koennt auch mich als anfaenger helfen ...

Mfg konstantin

Zitat:

Norton (mein virenschutz) hat erst eine angriff blockiert, dann eine datei geloescht

Oh, du wirfst ja mit Infos quasi um dich!

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Des problem ist das ich durch das Herunterfahren mir die exe die geloescht wurde und die blockierte Seitr nicht aufgeschrieben hatte .. Ich kann nur hoffen das ich meine Virenscanner starten kann und ich mir die Daten geben lassen kann... Hab naehmlich gehoert das der Virus, .exe dateien blockieren kann... Versuche dir die daten hier zu posten wenn ich wieser internet hab da ich durch den umzig derzeit nur mobiles internet auf meinem handy habe... Werde morgen wieder internet bekommen und dann starte ich meinen pc und versuche dir die daten zu posten wie du beschrieben hast

Vielen dank

Hier ein paar naehere infos: die noese datei hies 17bd.tmp oder so... Die angreifende seite also wo der angriff angeblich blockoert wrde hies allowanceupperhandlefthand oder irgendwie so.. hab dann gestern die live security plantinum .exe ausfindeig gemachrt und geloescht... und noch alle tmp dateien. zu gut der letzt hab ich CCleaner und tragex( so ne spurenverwischer software) druberlaufen lassen... problem ist jetzt das beim startrn ich egal mit oder ohnr eingabeaufforderung nen blackscreen nach dem windows logo bekomme und nur den mauszeiger seh... ich dachte der drecks virus waere weg und wollte dann heute oder morgen wenn wirnwieder internet haben malewarebyte usw druberlaufen lassen... hoffe ich koennt mir helfen bin echt am verzweifeln... danke

Du hast immer noch kein einziges Log gepostet!
Wie soll man da helfen?

Wuerde dir ja gerne die logs meines virenscanners schicken aber ich krieg ja den pc nicht mehr an... Versuche mit ner systemstartreparatur cd erstmal win7 zu reparieren dann kann ich dir die daten hier posten... Geht aber fruehstens am sonntag... da mir ein freund die cd bringen muss... Wenn win7 wieder geht poste ich sofort den virenscanner und malewarebyte log.

Hab ich das überlesen
Startet Windows überhaupt nicht mehr oder geht der Rechner selbst schon nicht mehr an?

Der pc laesst sich hochfahren sprich ich kann noch ins boot menue z.b.. Nach dem windwos logo bekomm ich nen blackscreen und ich sehe nur noch meinen mauszeiger den kann ich auch noch bewegen... Abgewicherter modus egal welche variante bringt leider nix. Am sonntag kommtn freund der mqcht qn seinem pc ne systemwiederherstellungs cd an seinem pc... Von der vereuche ich so booten und dann den systemstart zu repatieren ansonten muss ich warscheinlich neu aifsetzten... Dafor verwuch ich dann aber uebee nen linux usb stick zu starten und wenigstens paar daten auf meine externe festplatte zu speichern

Man kann noch versuchen mit OTLPE deine Windows-Installation zu retten

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Danke fuer den tipp wobei internet immer so ne sache ist da ich leider derzeit kein internet hab ... Hqb aber noch nen linux usb stick dann versuche ich die backup datei der registry wieder zum ursprubgsort zu tub (cclenaer macht auf nachfrage ne bqckup datei zjd des hab ich glahb ich bestaetigt). sollte des aber ned funktionieren dann schau ich das mein freund mir die software runterlaedt hoffe mit der backup datei geht alles wieder denn ich glaub es lag am ccleaner...

Vielen Dank fuer die Software
Konnte damit super meinen PC starten und ging auch dank der schönen Anleitung super
Hab dann erstmal meine wichtigsten Daten kopiert auf ne externe Festplatte.
Nachdem dann heute mein Freund mit der Recovery CD gekommen ist konnte ich per Systemwiederherstellung einen Safe vom 24.7.12 nehmen was trozdem sehr aktuell ist (habe den Rest mit OTLPE erstmal gelassen bzw. wurde bei mir eh keine extras.txt Datei erstellt , damit ihr euch um schlimmere Fälle kümmern könnt da mein PC ja jetzt wieder tipp top läuft).
Trozdem wuerde ich dich bitten das du mir evt. mal ein paar gute Tools gibst da ja Viren bei Systemwiederherstellungen auch noch da sein können..
Wenn ich am Dienstag^vllt wieder Internet hab werde ich erstmal mit meinen Virenscanner einen vollständigen Systemscan (nach Update) machen und das ganze noch mit Malewarebyte
Könntest du mir im voraus schonmal paar Toosl zum Scannen schicken damit ich sicher sein kann das alles weg ist und das ich wenn ich mal wieder ein Problem hab dir erstmal alle Logs schon schicken kann , wuerde dann sicher schneller gehen.
Also wie gesagt waere nett wenn du mir mal ne Liste an kostenlosen Programmen gibst , welche ich zum Scannen hernehmen kann und realtiv gut sind.
Letzte Frage waere zu Malwarebyte...
Habs mir runtergeladen hier und war erstaunt was des bei meinen Notfall PC allein shcon gefunden hat, ist die Kaufversion von Malewarebyte ratsam?

Vielen Vielen Dank
Konstantin

Die Tools allein helfen dir nicht
Man muss die Logs auch schon auswerten können

Zitat:

Letzte Frage waere zu Malwarebyte...
Habs mir runtergeladen hier und war erstaunt was des bei meinen Notfall PC allein shcon gefunden hat, ist die Kaufversion von Malewarebyte ratsam?

Ohne das Log kann man keine vernünftige Antwort formulieren
Die Kaufversion von Malwarebytes benötigt man nicht

sry das ich nochmal schreiben muss aber ich hab gestern bzw. heute ned so ganz darueber nachgedacht was ich geschrieben habe
Fakt ist ich kann Windwos wieder normall booten und hab die wichtigsten Daten mit in OTPLE auf meine externe Festplatte gezogen und mit der Recovery CD meines Freundes ne Systemwiederherstleluing vom 24.7 gemacht.
Hier ist erstmal der Verlauf meines Virenscanners, wo du die böse Temp Datei siehst und den Angriff der blockiert wurde, die Temp Datei hat dann im Sekunden Takt angegriffen. Einen Virenscann kann ich dir noch ned schicken da mein infizierter PC noch kein Internet hat, fruehstens am Dienstag.

Code: Alles auswählenAufklappen

ATTFilter

Vollständiger Pfad: Nicht verfügbar
____________________________
____________________________
Auf Computern ab 03.08.2012 um 19:20:25
Zuletzt verwendet 03.08.2012 um 19:20:25
Start-Element Nein
Gestarted Ja
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Sehr neu
Diese Datei wurde vor  9 Tagen veröffentlicht.
____________________________
Hoch
Das Risiko dieser Datei ist hoch.
____________________________
Bedrohungsdetails
SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.
____________________________
 Quelldatei:
svchost.exe Datei erstellt:
17bd.tmp
____________________________
Dateiaktionen
Infizierte Datei: c:\users\konstantin\appdata\local\temp\17bd.tmp
entfernt
Infizierte Datei: c:\users\konstantin\appdata\local\temp\17bd.tmp
Keine Aktion erforderlich
____________________________
Systemeinstellungsaktionen
Ereignis: Prozessstart (Ausgeführt von c:\users\konstantin\appdata\local\temp\17bd.tmp, PID:6412)
Keine Aktion unternommen
____________________________
Verdächtige Aktionen
Ereignis: Versuch, einen Remote-Thread in einem Prozessadressraum zu starten (Ausgeführt von c:\users\konstantin\appdata\local\temp\17bd.tmp, PID:6412)
Keine Aktion unternommen
____________________________
Dateiabdruck - SHA:
59082587a22ee2b716a65fc1954c2efdfa3201bfeb2d120078d644622e2b9c73
____________________________
Dateiabdruck - MD5:
378460f3a27d3da9ee8d9f53279d62d0
____________________________






Kategorie:Intrusion Prevention
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Name der IPS-Warnung,Standardaktionen,Durchgeführte Aktion,Angreifender Computer,Angreifer-URL,Zieladresse,Quelladresse,Beschreibung des Datenverkehrs
03.08.2012 19:20:13,Infos,Ein Eindringversuch von 195.2.240.185 wurde blockiert.,Blockiert,Keine Aktion erforderlich,Intrusion Prevention,Keine Aktion erforderlich,Keine Aktion erforderlich,"195.2.240.185, 80",allowanceupperlefthand.info/tmp/index.php?cmd=getgrab,"192.168.0.3, 55828",195.2.240.185,"TCP, www-http"
Netzwerkverkehr von <b>allowanceupperlefthand.info/tmp/index.php?cmd=getgrab</b> entspricht der Signatur eines bekannten Angriffs.  Der Angriff wurde von \DEVICE\HARDDISKVOLUME3\WINDOWS\SYSWOW64\SVCHOST.EXE verursacht.  Wenn Sie keine weiteren Benachrichtigungen über diese Art von Netzwerkverkehr erhalten möchten, klicken Sie unter <b>"Aktionen"</b> auf <b>"Nicht mehr benachrichtigen"</b>.
         

Ein paar Infos am Rande...
Hab damals bevor mein PC durch CCleaner gecrasht ist durch rechten Mausklick auf das Live Security Plantinum Icon auf meinen Desktop , den Ordner mit der .exe Datei und der Icon Datei von Live Securitiy Plantinum gefunden und gelöscht. Nachdem ich dann das Deinstallieren nochmal probieren wollte über "Software Deinstallieren" , was vor der .exe löschen nicht ging (er zeigte keine Reaktion), zeigte er mir an das evt. das Programm schon deinstalliert sei und fragte mich ob ich es aus der Liste löschen möchte.
Schätze jedoch das immer noch irgendwas aufm PC ist da so einfach doch kein Virus weg geht D
Vorallem Systemwiederherstellung ist oft kein Problem fuer Viren da zu ueberleben und nicht da sich noch Rootkits auf meinen PC oder so hab.

Hoffe du kannst dawei mit dem Verlauf bissl was anfangen.
Logs kommen hoffentlich am Dienstag.

mfg Konstantin