![]() |
|
Plagegeister aller Art und deren Bekämpfung: Virusmeldungen, Pop-Ups, Taksmanager gesperrt...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Hi und guten Abend. Zu aller erst: ich verstehe nicht viel von dem Fachchinesisch hier. ![]() Seit Sonntag habe ich anscheinend einen Virus/Trojaner/Wurm/was auch immer auf meinem PC. Samstag früh was alles noch in Ordnung, dann war ich bis zum Abend weg. In der Zeit bis zum Abend waren meine Geschwister noch am PC. Am Samstag Abend habe ich dann eine Meldung von Antivir bekommen (als ich auf eurosport.de gesurft habe). Habe ich garnicht weiter beachtet, ich glaube ich habe auf "Zugriff verweigern" geklickt. Am Sonntag morgen öffnete sich auf einmal ein Fenster von einem "Antivirus-Programm", es spammte mich auf'm Desktop mit Virusmeldungen voll und forderte mich auf das Programm zu kaufen. Mir war gleich klar, dass es sich um etwas handelt, dass sich nicht auf einem PC befinden sollte. ![]() ![]() Ansonsten wurden noch IE-Fenster zu Porno und Viagra-Seiten geöffnet, beim Öffnen des Taskmanagers wurde eben dieser direkt geschlossen und die gesamte Taskleiste wurde von diesen Windows-Sicherheitshinweisen zugemüllt (weiße X auf rotem Schild und gelbes Ausrufezeichen). Jede Sekunde kam ein neues hinzu... Nunja, denn habe ich Malwarebytes Anti-Malware installiert (nach einem Neustart, bevor sich dieser Schund erneut gemeldet hat, ansonsten reagierts garnicht auf eine Klick). Habe allerdings kein Update durchgeführt, MWB auf'm Stand von 01.07.09. Habe den PC durchsuscht, ein Fund, irgendein Trojaner. Entfernt, dann kam eine englische Meldung auf hellblauem Grund, von wegem was kann nicht gelöscht werden oder so, hab's in meiner Hektik schnell geschlossen. Denne habe ich erstmal meine Passwörter (auf einem sauberen PC) geändert und den befallenen PC vom Internet getrennt. Heute Abend habe ich den PC gestartet, den Task-Manager, Antivir und Malwarebytes geöffnet bevor dieses Drecksprogramm gestartet hat. Habe es erstmal die beiden Antiviren-Porgamme scannen lassen und nach einiger Zeit im Task-Manager bemerkt, dass ein Prozess einen unglaublich hohen Wert hat (Name: dieusysguard.exe oder so mit 50.000 K). Habe den dann beendet und Zack -> alle Meldungen etc. von dem Virus oder was auch immer sind verschwunden. Dann habe ich Antivir und Malwarbytes suchen lassen, MWB hat ein File gefunden: HKEY_CURRENT_USER\SOFTWARE\AvScan Anbieter: Trojan.FakeAlet Kategoie: Registry Key Ich habe es "entfernt", also in Quarantände geschoben. Nun habe ich meinen PC nochmal gestartet, es hat sich bisher noch kein unerwünschtes Programm geöffnet... Allerdings gibt's im Task-Manager wieder einen Prozess namen dieusysguard.exe, Anwender HP_Administratorm verbraucht ca. 9100 K. Ist jetzt alles wieder heile? Oder wie kann ich es noch überprüfen? Habt ihr Vermutungen? Der lange Text wirkt sicher abscheckend, aber ich hoffe ihr hilft mir, wäre echt dankbar. Würde mich denn hier morgen Nachmittag nach der Schule melden. Grüße aus Berlin |
![]() | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Hallo und
__________________![]() Wieso kein Update für Malwarebytes? ![]() Bitte die Logs von dem Malwarebytes (das ohne die Updates) auch posten. Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
![]() | #3 |
![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Quatsch, sorry, Malwarebytes ist aktuell (Stand 07.01.10).
__________________So, schlechte Nachricht: Das Drecksprogramm hat sich wieder geöffnet. Es nennt sich übrigens "Antivirus Live". Ich hatte den Taskmanager offen, also habe ich den Prozess dieusysguard.exe beendet und zack - wieder war's weg. So, hier 2 Logfiles von Malwarebytes und eines von Hijackthis. Hoffe du kannst was darauslesen. http://www.file-upload.net/download-.../Logs.zip.html Danke und Gruß Edit: Habe Win XP SP 3 falls es was nützt. Edit: CCleaner habe ich jetzt so wie in der Anleitung ausgeführt. Bin jetzt erstmal weg und komme in 2, 3 Stunden wieder. Geändert von Berlin1892 (26.01.2010 um 15:11 Uhr) |
![]() | #4 | ||
![]() ![]() ![]() ![]() ![]() ![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... HijackThis Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat:
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Avenger 1.) Lade dir das Tool Avenger2 und speichere es auf dem Desktop: ![]() 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier im Thread. |
![]() | #5 |
![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Habe alles so gemacht wie du es gesagt hast. Im Task-Manager finde ich jetzt kein "diesysguard.exe"-Prozess mehr. Danke. Hier der Log von Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: "C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj" is a folder, not a file! Deletion of file "C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\yyiocj" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found! Deletion of driver "H8SRTd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Danke nochmal und Gruß |
![]() | #6 |
![]() ![]() ![]() ![]() ![]() ![]() | ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... TFCleaner Download TFC.exe by OldTimer zum Desktop Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu ComboFix © (by sUBs) Download ComboFix © by sUBs und speichert es auf den Desktop! Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht ![]() Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Note:Vista Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung |
![]() | #7 |
| ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Sorry, das ich mich hier zuschalte, hatte das gleiche Problem,wie von berlin1892, habe sehr viel heute auch auf US Seiten empfohlene Programme durchprobiert, wie hier: h**p://deletemalware.blogspot.com/2010/01/how-to-remove-antivirus-soft-fake.html hat aber alles nicht richtig geholfen. Habe auch immer versucht die jeweiligen Programme, wie "Malwarebytes' Anti-Malware" oder "Spybot - Search & Destroy" im abgesicherten Modus bei mir auf Windows XP Pro laufen zu lassen. Was schließlich geholfen hat (bis jetzt) war die Suche in der registry, ich habe ein Programm namens: iawbsftav.exe/alert.htm entdeckt, dies über Suchfunktion (ebenfalls im abgesicherten Modus) manuell in einem Ordner lokalisiert und dann gelöscht, seitdem ist Ruhe. der Pfad dahin sah so aus: C:\Documents%20and%20Settings\Benutzer\Local%20Settings\Application%20Data\nnayfv\iawbsftav.exe/alert.htm Ich hoffe das hilft auch anderen Betroffenen, eventuell, Gruß, B. |
![]() | #8 |
| ![]() Virusmeldungen, Pop-Ups, Taksmanager gesperrt... Hallo, ich habe am letzten Dienstag, 2. Februar, das gleiche Problem gehabt. Antivirus Soft hat sich bei mir eingemistet. Fast alle Programme waren nicht zu öffnen (wurden sofort wieder geschlossen), nur die Browser gingen ... und alle paar Sekunden klappten Warnmeldungen auf sowie Porno- und Viagra-Seiten. Ich habe aber eine Schwachstelle im Schadprogramm gefunden: Es startet nach dem Rebooten erst mit Verzögerung, in dieser Zeit kann man ein paar Sicherheitsprogramme starten. Ergebnis: Malwarbytes findet nichts! Sophos Anti-Rootkit dauert ewig und findet nichts Super Anti-Spyware findet 13 schädliche Cookies ... Diese habe ich gelöscht und oh Wunder, der Zauber war vorbei ![]() Ich kann Anti Super-Spyware herzlich empfehlen! Die Gratis-Version reicht aus, würde aber gerne die Vollversion kaufen, aber nicht per Kreditkarte, ob Paypal auch geht? Weiß das jemand? Hatte viel zu tun, sonst hätte ich Mittwoch schon geschrieben, dennoch möchte ich euch informieren. Beste Grüße Micha |
![]() |
Themen zu Virusmeldungen, Pop-Ups, Taksmanager gesperrt... |
ad-aware, anti-malware, antivir, applaus, auf einmal, beendet, desktop, file, gelöscht, gen, internet, kann nicht gelöscht werden, malwarebytes, namen, neustart, passwörter, pop-ups, prozess, registry, scan, schule, software, spamm, suche, task-manager, taskleiste, voll, zugemüllt, zugriff, öffnen |