Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.
Hallo liebe Trojaner-Board-Profis
Habe mir neulich die Testversion von GData Internet Security 2013 direkt von der Herstellerseite gedownloadet (vorher hatte ich die Vollversion von 2009, werde mir aber demnächst die neue 2013 Vollversion kaufen). Habe auch meinen PC damit komplett durchgescannt. Es wurden insgesamt 3 infizierte Dateien gefunden, die laut Gdata auch erfolgreich gelöscht wurden. Habe anschließend einen Schnell-Scan mit Malwarebytes, sowie einem Vollscan mit dem Spyware Terminator und dem Microsoft-Security-Scanner durchgeführt. Auch wurde die dort gefundene Malware laut den Programmen gelöscht. Neulich wollte ich meinen Grafiktreiber aktualisieren, für das ich mir den Driver Cleaner von chip.de geholt habe. Plötzlich hat GData ca 8 Meldungen mit Virenalarm gebracht. Anscheinend irgendwelche Trojaner. Diese wurden dann auch in die Quarantäne geschoben. Anschließend habe ich dann nochmal einen Voll-Scan mit Malwarebytes gestartet, diesen allerdings nach über 19! Stunden Scanzeit abgebrochen. Die 4 gefundenen Malwaredateien waren jeweils 2x ein Trojan.Vundo sowie 2x pup.offerbundler. Beide auch laut Malwarebytes gelöscht. Da mich aber die Dateien, in denen die dinger anscheinend gesessen sind oder immer noch sitzen stutzig gemacht haben (beides Softonic-Downloader für Programme wie Photoscape), hab ich sie online scannen lassen. Bei beiden haben die Virenprogramme Backdoor und Trojaner gefunden. GData jedoch findet nichts! Bin langsam echt am verzweifeln, da ich echt Angst habe dass mein PC irgendwie ausspioniert wird oder durch Malware verseucht ist. Gibt es irgendwie eine Möglichkeit, diesen Programmen auf die Schliche zu kommen? Oder soll ich am besten Windows neu installieren? Firewall ist stets aktiv, alle Windows sowie GData und Malwarebytes-Updates sind stets aktuell. Habe mir bereits RKill gedownloadet. Die Datei, die sich nach Abschluss öffnet sagt dies hier:
Rkill 2.4.7 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic308364.html
Program started at: 02/20/2013 03:39:34 PM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3
Program finished at: 02/20/2013 03:40:24 PM
Execution time: 0 hours(s), 0 minute(s), and 50 seconds(s)
Hier mal meine Systeminformationen:
Microsoft XP Home edition Version 2002
Servicepack 3
AMD Athlon Dual Core Processor 4050e
2,10 GHz, 3,35GB RAM
Bitte verzeiht mir wenn ich etwas zu viel drumherum geschrieben habe, oder zuviele Programme genannt habe, wollte einfach auf Nr. Sicher gehen und euch alles mitteilen. Ehrlichgesagt hab ich von solchen Sachen nicht viel Ahnung, daher wäre echt dankbar, wenn ihr mir helfen könntet
Liebe Grüße Sara
Bevor es losgeht würde ich gerne das Logfile von Malwarebytes sehen.
So funktioniert es: Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.
Bitte Lesen: Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Gelesen und verstanden?
Bitte Lesen und verstehen.
Zitat:
G:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SoftonicDownloader_fuer_photoscape.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
G:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SoftonicDownloader_fuer_atube-catcher.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Wen du dir so einen Mist runterlädst und installierst, musst du dich über Werbung und Trojaner nicht wundern!
Lesestoff: Softwaredownloader
Es gibt im Internet Downloadportale, die statt die Datei selbst anzubieten, dem User einen Downloader unterjubelt. Startet man diesen, dann wird erst das gewünschte Programm von der Webseite des Anbieters geladen. Üblicherweise installiert dieser Downloader auch Werbeprogramme auf deinem Rechner. Besonders bekannt dafür ist z.B. Softonic. Daber merke dir bitte für die Zukunft:
Lade Software in erster Linie von der Webseite des Herstellers.
Hallo ryder
Habe alles nach Anleitung gemacht. Jedoch im abgesicherten Modus, da mein PC im normalen Modus beim Starten von GMER abgestürzt ist (Habs 3x probiert. Jedes mal ein Bluescreen mit Meldungen wie BAD_POOL_HEADER oder IRQL_NOT_LESS_OR_EQUAL).
Zu meiner Überraschung hat das Programm nichts gefunden, daher ist auch das abgespeicherte Logfile leer.
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort, möglichst in CODE-Tags.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung
Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
Das sieht irgendwie nicht komplett aus. Aber das was ich sehe ist okay.
Weiter:
Scan mit Combofix
WARNUNG an die MITLESER: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja. Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
Wenn Combofix fertig ist, wird es eine Logfile erstellen.
Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Digitale Freibeuter gegen Malware! Keine Hilfe per PM!
Hallo ryder
Mit dem runterladen von der Windows-Wiederherstellungskonsole hat alles funktioniert und sonst hat es Anfangs mit combofix auch gut geklappt... Bis auf das das gData am Anfang immer Meldungen wegen Ausführen von combofix gebracht hat (obwohl ich den Virenscanner und Wächter deaktiviert hab! Auch hat gData trotzdem updates heruntergeladen.)
Allerdings hat der Scan deutlich länger als die vorgegebenen 10 minuten gebraucht.
Beim scan von Stelle(?) 48 hat er dann so ewig gebraucht, dass ich schnell den Raum verlassen habe. Als ich ca 10min später zurückgekommen bin hat mein PC einen Bluescreen mit der Meldung BAD_POOL_HEADER gebracht. Jetzt bin ich irgendwie ratlos... Hab während des scans nur einmal die Maus bewegt, weil der Bildschirm ausgegangen ist und ich schauen wollte wie weit combofix ist. Ansonsten hab ich wirklich nichts gemacht.
Ja das kann schon mal passieren, dass es abschmiert.
Probiere alternativ den abgesicherten Modus oder benenne die Combofix.exe um in NoMBR.exe
So funktioniert es: Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den PfeiltastenAbgesicherter Modus mit Netzwerktreibern aus und drücke Enter.
__________________
Digitale Freibeuter gegen Malware! Keine Hilfe per PM!
Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.
Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Erstmal danke für die schnelle Antwort. Ging alles wunderbar. Beim adwCleaner musste auch nur 1x neu gestartet werden. Allerdings hat mich bei combofix ein bisschen irritiert, dass es die Wiederherstellungskonsole nochmal heruntergeladen hat ..
Naja hier erstmal die logfiles:
adwCleaner:
Zum Thema PC Malwareverseucht? - Hallo liebe Trojaner-Board-Profis
Habe mir neulich die Testversion von GData Internet Security 2013 direkt von der Herstellerseite gedownloadet (vorher hatte ich die Vollversion von 2009, werde mir aber demnächst die - PC Malwareverseucht?...
20.02.2013, 16:17
So funktioniert es:
Digitale Freibeuter gegen Malware! 
Hybrid-Darstellung
