Hallo zusammen,

in diesem Thread las ich schon etwas, was nach meinem Problem klang. Ich wollte zunächst die Schritte abarbeiten, die vor der Erstellung eines Threads hier genannt sind, was leider nicht funktionierte, da sich nur Anti-Malware bei mir starten ließ.

Bei mir liegt folgendes Problem vor: Ich hatte eine Datei runtergeladen, die von meinem Avast als Virus erkannt wurde. Ich wollte die Datei daraufhin anhand der Avast-Meldung löschen bzw. verschieben in diesen Quarantäne-Ordner. Beides funktionierte nicht, sprich wenn ich etwas davon auswählte, poppte sofort wieder dieses "Virus-gefunden, was soll geschehen?"-Fenster auf, als hätte ich nichts ausgewählt. Habe daraufhin "nicht beachten" gewählt und die Datei manuell gelöscht und sofort den Papierkorb geleert. Beim Neustarten des Systems war ein rotes Verbotszeichen unten auf dem Avast-Symbol, neben der Uhr, zu sehen. Beim nächsten Systemstart ging Avast garnicht mehr an. Ich habe es daraufhin deinstalliert, neuinstalliert, was beides klappte. Allerdings konnte ich Avast nicht mehr starten, es kam dann die Meldung "ashAvast.exe ist keine zulässige Win32-Anwendung". Ich habe daraufhin das Programm deinstalliert, wieder neu installiert und es ging leider weiterhin nicht. Nach einiger Recherchezeit fand ich euer Board und wollte die Programme die zuvor zu nutzen sind drüberlaufen lassen. Nur leider ging nur Anti-Malware. Bei HijackThis kommt die selbe Meldung "keine zulässige Win32-Anwendung" und CCleaner schließt augenblicklich wenn ich es öffne. Das Problem ist auch, dass Malware die Dateien nicht wirklich löscht, wie es da heißt. Denn ich habe Malware schon mehrere Male drüberlaufen lassen und die Viren bleiben trotzdem bestehen!

Anbei die Logdatei von AntiMalware:

Code: Alles auswählenAufklappen

ATTFilter

alwarebytes' Anti-Malware 1.36
Datenbank Version: 2169
Windows 5.1.2600 Service Pack 2

23.05.2009 14:11:39
mbam-log-2009-05-23 (14-11-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 169346
Laufzeit: 25 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\m (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\srosa2.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A7E50286-FC00-46A0-B045-B06B7A5D62AB}\RP258\A0074927.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A7E50286-FC00-46A0-B045-B06B7A5D62AB}\RP258\A0074947.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> Delete on reboot.
         

Ich hoffe ihr könnt mir helfen!

Gruß
Mad

Hallöle.

Prevx

• Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  
• Deaktiviere die Wächter aller anderen AntiViren Produkte!
  
  
• Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
  
• Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
• Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
  
• Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
• Dort schiebe bitte den obersten Regler Advanced Heuristics Settings ganz nach rechts auf Maximum!
• Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
  
• Starte den Rechner neu.
  
• Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  
• Wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
  
• Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
  
• Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!

Hi,

ich konnte leider keine Reinigung durchführen, da das Programm dafür sofort den Key forderte und den gibts leider nicht kostenlos.

Anbei die Scanlogs:

Scan bei Installation

Deep Scan

Gruß
Mad

Jo, kein Problem. Einige Infektionen bereinigt er so, andere nur in der Vollversion. Wir machen das manuell..


Lass' in Zukunft die Finger vom Torrent Netzwerk und anderen FileSharing Börsen! Da kommt der Müll nämlich her..


Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Downloade dir BaegleFix hier:
http://www.symantec.com/content/en/u...s/FxBeagle.exe


Trenne den Rechner physikalisch vom Internet => LAN-Stecker ziehen!


Führe BaegleFix durch einen Doppelklick aus.




Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\programme\spacialaudio\sambc\sambc.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



ESET SysInspector logfile

• Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
  
• Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
  
• Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
  
• Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
  
• Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
  
• Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.
  
  
  .
  
• Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei rapidshare hoch und postest mir den Downloadlink per PN.
  
• Auf Basis dieses logfile erstelle ich dir eine DienstSkript Datei die ich hier im Forum an meinen nächsten Post anhängen werde.

Ok, Systemwiederherstellung deaktivieren hat geklappt. Im Anschluss lud ich Baglefix runter und trennte den Rechner vom Netz. Nach dem Suchlauf kam diese Logdatei.

Im Anschluss machte ich die versteckten Dateien sichtbar und führte mit VirusTotal die Prüfung der sambc.exe durch. Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Datei SAMBC.exe empfangen 2009.05.24 11:16:03 (UTC)
Status:   Beendet 
Ergebnis: 4/38 (10.53%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.24	-
AhnLab-V3	5.0.0.2	2009.05.23	-
AntiVir	7.9.0.168	2009.05.23	-
Antiy-AVL	2.0.3.1	2009.05.22	-
Authentium	5.1.2.4	2009.05.23	-
Avast	4.8.1335.0	2009.05.23	-
AVG	8.5.0.339	2009.05.24	-
BitDefender	7.2	2009.05.24	-
CAT-QuickHeal	10.00	2009.05.23	-
ClamAV	0.94.1	2009.05.24	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.24	-
eSafe	7.0.17.0	2009.05.21	-
eTrust-Vet	31.6.6519	2009.05.23	-
F-Prot	4.4.4.56	2009.05.23	-
F-Secure	8.0.14470.0	2009.05.23	-
Fortinet	3.117.0.0	2009.05.23	-
GData	19	2009.05.24	-
Ikarus	T3.1.1.49.0	2009.05.24	-
K7AntiVirus	7.10.741	2009.05.21	-
Kaspersky	7.0.0.125	2009.05.24	-
McAfee+Artemis	5624	2009.05.23	-
McAfee-GW-Edition	6.7.6	2009.05.24	Virus.Win32.FileInfector.gen (suspicious)
Microsoft	1.4701	2009.05.24	-
NOD32	4098	2009.05.22	-
Norman	6.01.05	2009.05.22	-
nProtect	2009.1.8.0	2009.05.24	-
Panda	10.0.0.14	2009.05.23	-
Prevx	3.0	2009.05.24	Medium Risk Malware
Rising	21.30.62.00	2009.05.24	-
Sophos	4.42.0	2009.05.24	Sus/ComPack-C
Sunbelt	3.2.1858.2	2009.05.24	-
Symantec	1.4.4.12	2009.05.24	-
TheHacker	6.3.4.3.331	2009.05.22	-
TrendMicro	8.950.0.1092	2009.05.23	-
VBA32	3.12.10.5	2009.05.24	suspected of Malware.Delf.116
ViRobot	2009.5.23.1749	2009.05.23	-
VirusBuster	4.6.5.0	2009.05.23	-
weitere Informationen
File size: 5138432 bytes
MD5...: 65a5d098c7706705f096a289593f68f4
SHA1..: a69146e32922bc50a8990854384f40b71c31dc27
SHA256: ea00678c20ff8b1ad7cb90569793fd1b450db5ad70778871fee1125993af1773
SHA512: 422078b07ba2259540788ebaeb04c06dfd44fff1d8cbba6a40c9c9afdef7212d
9bbd98d60eec05b32d345c28fac1c05082b55196becc93664b324597f154c70a
ssdeep: 98304:tkBBPJNwA8lpAGYxlmwTImaOR7WRPVMkDN:anPWaGYxlmeImxJISkDN
PEiD..: -
TrID..: File type identification
InstallShield setup (44.3%)
Win32 EXE PECompact compressed (generic) (42.7%)
Win32 Executable Generic (8.7%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3b420f
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x375000 0x375000 6.56 204c351a051e250f0a3d8993f29a6467
DATA 0x376000 0x9000 0x8a00 6.20 e59fa23bfa6816062dae228c8d7daf1d
BSS 0x37f000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
usfp7mwx 0x38f000 0x4000 0x4000 1.02 38111b1bec1e7ce889256b2ed14e83b7
gwisgkh4 0x393000 0x1000 0x1000 6.87 f343d67151bd7516e69b2393154add8e
.tls 0x394000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x395000 0x1000 0x200 0.66 5be98912d2c427e59e2cd7dbcdee59f4
bbwfca01 0x396000 0x3e000 0x3e000 7.15 a9e70a0367f05387023ba9fae58d94a7
.rsrc 0x3d4000 0xf5000 0xf4400 6.00 a1337be2a53a0175d5a3262ef94a0892
1pz.glbs 0x4c9000 0x32000 0x31161 7.04 9e9c7af045fb817fc2ae154b2da65a87
p5xr05kh 0x4fb000 0x1000 0x200 7.57 1a54cfbb8a50b33833691078f04e9299

( 0 imports ) 

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BB589E0E0013254968B54EE957A01300C1D23BA5' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BB589E0E0013254968B54EE957A01300C1D23BA5</a>
         

Den letzten Schritt mit SysInspector konnte ich leider nicht durchführen. Ich versuchte es mit der deutschen und englischen Version. Wenn ich die 32 Bit-Version starten will gibts einen Bluescreen und die 64 Bit ist keine zulässige Win32-Anwendung.

Danke für deine Hilfe!

Gruß
Mad

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
  .
  

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\wintems.exe
c:\dokumente und einstellungen\administrator\anwendungsdaten\drivers\winupgro.exe
c:\dokumente und einstellungen\administrator\anwendungsdaten\drivers\wfsintwq.sys
c:\dokumente und einstellungen\administrator\anwendungsdaten\m\flec006.exe
c:\windows\system32\mdelk.exe
c:\dokumente und einstellungen\administrator\anwendungsdaten\drivers\downld\513984.exe


Folders to delete:
c:\programme\dna
c:\programme\spacialaudio
c:\dokumente und einstellungen\administrator\anwendungsdaten\drivers\downld
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

Führe danach bitte einen erneuten Scan mit Prevx durch, speichere und poste abermals das log.