Hallo MerryCherry und

Du surfst mit einer Umleitung über die Ukraine zu uns. Vermeide jeglichen Login und Versand von wichtigen Informationen von deinem Rechner aus!!

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


DNS-Einträge entfernen:

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

{mfg an [Gc]Sunny}

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

C:\Programme\Macrogaming\SweetIM\SweetIM.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://home.sweetim.com
O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.76
O23 - Service: InstrumentHardwareController - Unknown owner - C:\VOYAGER\InstrumentHardwareController.exe (file missing)

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\VPro500.exe

Folders to delete:
C:\VOYAGER
C:\Programme\Macrogaming
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Lasse danach nochmal CCleaner laufen und melde dich mit frischem HJT log sowie dem combofix log.

danke erstmal. Da bekomm ich ja gleich "Angstschweiß"
OMG....hatte heute morgen noch ne online-Überweisung gemacht, aber jetzt alles schön auf Eis gelegt....und ist auch noch nix passiert. Werde alles der Liste nach abarbeiten und melde mich dann wieder zurück. Bin grade voll geschockt.

Kurze Zwischenfrage....soll ich ComboFix nachdem Leitfaden und Tutorium zur Nutzung von ComboFix starten, oder so wie du es geschrieben hast nach dem CCCleaner?

Zitat:

Zitat von undoreal

Hallo MerryCherry und

Du surfst mit einer Umleitung über die Ukraine zu uns. Vermeide jeglichen Login und Versand von wichtigen Informationen von deinem Rechner aus!!

.

Kurze, blöde Frage:
Woran erkennst du das? Bzw. woran kann ich das schnell erkennen?

@Frolova

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.76

an dieser 85.255 IP
Dies ist die Umleitung zur Ukraine

Zitat:

Zitat von Angel21

@Frolova an dieser 85.255 IP
Dies ist die Umleitung zur Ukraine

Ah Danke!
Gibt es da irgendwelche Tabellen, wo und woher die IP kommen?

Z.b:
80.xxx D
81.xxx UK
.
.
85.xxx Ukraine etc.

Das weiß ich leider nicht

Zitat:

Zitat von Angel21

Das weiß ich leider nicht

Ok, danke!
Hab mir leider Trojaner eingefangen. Bei gekauften Programmen. Kaspersky ist anscheinend bei mir offen wie ein Scheunentor, trotz hoher Absicherung. Werde jetzt auf Avira umsteigen.

@Frolova wenn Du ein Problem hast mit nem Trojaner kannst Du hier > http://www.trojaner-board.de/newthre...newthread&f=20 mit dieser Anleitung ab Punkt 2: http://www.trojaner-board.de/69886-a...-beachten.html ein neues Dir entsprechendes Thema eröffnen
Somit kann man sich um Dich genaustens kümmern