Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Löschen infizierter Datein

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.03.2010, 17:14   #1
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



So! Nun hat's mich auch mal erwischt, kann in Zukunft nicht mehr über Freunde lachen, die sich mit Viren&Co rumplagen.

Symptome der Infektion in zeitlicher Abfolge

die updatefunktionen der WinFW und des AV(clamwin) wurden abgeschaltet und lassen sich imo auch nicht mehr aktivieren
das laden der meisten sites mit onlinescannern und AV-Progs wird verhindert
SecutityTool wollte mich schröpfen
zwei tage später forderte TotalPCDefender mit Nachdruck auch noch einen Obolus
alles begleitet von Systeminstabilität und aha-Effekten, das beenden der Arbeit am PC durch shutdown.exe ist eine dieser Nettigkeiten

Beide Programme sind im Taskmanager leicht zu finden und die *.exe files lassen sich problemlos von der Festplatte und aus der Reg löschen.
Nun ist erst mal Ruhe. Interessant -die SecurityTool-exe hat inzwischen einen anderen Namen, als der hier in einem anderen thread angegebene.
Hatte leider schon gelöscht bevor ich darauf stieß... begann mit 6884.....

Was bleibt sind die Trojaner und ein (evtll?)rootkit.
Und da beginnt das Rätseln -kann ich die infizierten Dateien einfach löschen und wo bekomme ich, wenn sie vom System benötigt werden "Ersatz" ohne gleich eine WinNeuinstallation in angriff nehmen zu müssen?

ClamWin fand die Trojaner auch erst nach einem manuell ausgelösten Scan.Ist doch auch nicht normal,oder?
MalwarebytesAV hatte in einem ersten Durchlauf zusätzlich Trojan.Agent und Trojan.Banker gefunden, jetzt im 2. Durchlauf sind sie verschwunden, QuarantäneOrdner ist aber leer, hmmm....
CCleaner auch mehrmals eingesetzt, nix mehr zu beanstanden

im zipordner sind div Logfiles
File-Upload.net - Logfiles.zip

System: WinXP SP2/IE8/WinFW/ClamWin

Edit
Ja Teufel und Thunfisch... ich bekomme es mit dem Link nicht hin^^
hxxp://www.file-upload.net/download-2368989/Logfiles.zip.html

Geändert von UrsusTr (22.03.2010 um 17:46 Uhr)

Alt 22.03.2010, 18:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Hallo und

Zitat:
Datenbank Version: 3510
Die Signaturen von MBAM waren nicht aktuell. Dazu hätte ich mal eine prinzipielle Frage, denn Du bist nicht der erste, der anscheinend es überliest Malwarebytes-Signaturen zu aktualisieren. Ist so nicht deutlich genug in unserer Anleitung?
Eigentlich muss man auch den Haken am Ende des Setups herausnehmen, denn standardmäßig aktualisiert MBAM seine Datenbanken am Ende des Setups!

Zitat:
Scan-Methode: Quick-Scan
Du kannst auch deswegen den Scan wiederholen.

1.) Vor jedem Durchlauf mit Malwarebytes muss man manuell die Datenbanken aktualisieren
2.) Ein Vollscan ist immer notwendig!
3.) Alle Funde müssen am Ende entfernt werden

Bitte Malwarebytes mit diesen Bedingungen nochmal durchlaufen lassen. Danach bitte RSIT Logs erstellen und posten.
__________________

__________________

Alt 22.03.2010, 22:40   #3
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Danke für die Hinweise Arne.
Wußte erst nicht welches Häkchen du meinst und habe Setup noch mal ausgeführt. Das update-häkchen ist gesetzt, jedoch wird das update nicht ausgeführt. Nachdem dem Start, bricht der Vorgang mit errCode 732(12007, 2) ab, ohne das irgendwelche Aktivitäten, Herstellen einer Verbinung,laden einer site oä zu erkennen sind. Der DAU sagt sich in einem solchen Fall: OK,lieber die halbe Wahrheit, als gar keine^
In mehreren Fällen wurde MWBAV auch abgebrochen.. "MWBAV hat einen Fehler festgestellt -Bericht senden usw"

In der Ignorierliste von Malw hab ich jetzt auch die beiden anderen befallenen Dateien gefunden: Windows\msacm32.drv und Windows\wuasirvy.dll
Diese Dateien sind auch der Anlass für die Bitte um Hilfe. Im Win Ordner rumlöschen ist mir dann doch nicht ganz geheuer.
Da die Entwickler heutzutage übermenschliche Fantasie aufbringen Namen für Dateien zu kreieren ist es für den Normaluser nicht nachvollziehbar was er da löscht, oder unter Quarantäne stellen läßt

Mit dem VollScan ...ich gebe es ja zu, habe eigentlich damit gerechnet.
Die letzten Tage der Stress mit den FakeAV(der TotalPCDefender ist übel,hat ewig gedauert bis ich drauf kam explorer.exe über den Taskmanager zu starten,ging ja nix anderes mehr) heute den ganzen Tag Sites die nicht erreicht werden können, fremde,neue Programme bei denen ein falsches Häkchen das OS ins elektronische Nirvana befördern kann, vorher der Vollscan mit ClamWinAV(fast 2 stunden), war dann einfach nur fertig, hab ja auch das log von CCleaner vergessen mit zu zippen,obwohl sie alle nebeneinander auf dem desktop liegen
...oder kurz - ich reiche das log eines Vollscan nach,lass den scan nachher über Nacht laufen.
Entschuldigung für die Bequemlichkeit mit dem quickscan.

mfG Ursus

....
Ihr Seitenaufruf konnte nicht verarbeitet werden, da Sie sich angemeldet haben, nachdem die vorherige Seite geladen wurde.
ist aber auch nicht gerade nervenschonend
__________________

Alt 23.03.2010, 07:30   #4
Shadow
/// Mr. Schatten
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Rattengift
Zitat:
Zitat von UrsusTr Beitrag anzeigen
Nun hat's mich auch mal erwischt
...
System: WinXP SP2/
(@ arne: Ich hab's übrigens immer noch nicht durchgelesen)
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 23.03.2010, 10:06   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Zitat:
In der Ignorierliste von Malw hab ich jetzt auch die beiden anderen befallenen Dateien gefunden: Windows\msacm32.drv und Windows\wuasirvy.dll
Diese Dateien sind auch der Anlass für die Bitte um Hilfe. Im Win Ordner rumlöschen ist mir dann doch nicht ganz geheuer.
Bitte aus der Ignorierliste nehmen und wirklich auch löschen lassen.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.03.2010, 19:57   #6
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



MWBAM -> CCleaner -> reboot 2x ausgeführt -alle logs 0 Einträge
Datenbankversion immer noch die alte, da immer noch kein Zugriff auf irgendwelche sites von Malwareentwicklern möglich
Die neuen logs von GMER und HJT verglichen -keine Veränderungen.
Die beiden befallenen Dateien zuvor gelöscht.

WinFW und ClamWinAV sind damit erstmal für mich gestorben. Kaspersky IS 2010 gekauft, Installation natürlich auch nicht möglich, da auch hier der Zugriff auf die site nicht möglich ist. DNS kann nicht aufgelöst werden.Einziger Eintrag in Hosts ist der LocalHost.
Damit ist nun erst einmal fröhliches surfen nur mit WinFW, ohne AV angesagt.
Bekomme hier noch 'n Herzkasper.^

Da steh ich nun ich armer tor; und bin so schlau wie eh zuvor..
mit trauriger Mine und freundl Grüßen, Ursus

Alt 23.03.2010, 20:13   #7
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Mal was anderes...
auf eurer startseite kann ich mich anmelden, werde begrüßt
- gehe in den plagegeisterthread, kann ich nicht antworten, da nicht an gemeldet
also gleich in den plage thread dort anmelden(nach cachlöschen etc), hallo Ursus usw
antworte -will abspeichern ... geht meistens nicht, da nicht angemeldet
wenn es denn mal funktioniert werde ich, wie es sich gehört, zum Beitrag weitergeleitet, kann ihn aber nicht lesen,so wie das gesamte Thema, da innerhalb 1 sec immer abwechselnd diese adressen geladen werden



und eure
die ersten beiden, werden nicht angezeigt, nur kurzes flackern der Browseranzeige

*Augentropfen sind nun alle

Alt 23.03.2010, 20:18   #8
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



uppps....
hier die 2. adresse

edieren auch nicht möglich

Alt 23.03.2010, 21:33   #9
Sion
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



1. Hol dir Avenger (hxxp://virus-protect.org/artikel/tools/avenger.html)

2. Starte Avenger

3. Setze beide Häkchen

4. Kopiere in das Script-Feld

Zitat:
drivers to delete:
rqzkkb
rqzkkb.sys
5. Klicke auf "Execute"

6. Lass den PC von Avenger neu starten.

7. Poste das Log vom Avenger (erscheint nach dem Neustart)

Alt 23.03.2010, 22:17   #10
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Es

geht

nicht! blubb


Ich kann auf meiner Schachseite Partien spielen, kann auf Navyfield.de Schiffchen versenken, hier in dem schönen Forum schmökern, wahrscheinlich könnte ich mir auch nette Bildchen auf www.titten.de & Co ansehen.
Aber ich komme auf keine Site von Malwarekillern, oder auf Seiten auf denen die Schlagworte Antivirus, Security,Protect oder sonstwas vorkommt. Hab mir von Google die Sites aller bekannten Entwickler suchen lassen und versucht diese zu besuchen. Gerade mal zu Avira kam ich durch. Imo bin ich Freiwild für den dümmsten Malwareschreiber, ummmpf.

Die rqzkkb.sys hatte ich irgendwann schon mal im Focus, weiss jetzt aber nicht mehr in welchem Zusammenhang.

Alt 23.03.2010, 22:21   #11
Sion
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Versuch den direkten Link:

hxxp://swandog46.geekstogo.com/avenger2/download.php

Oder:

hxxp://www.file-upload.net/download-2373600/avenger.zip.html

Geändert von Sion (23.03.2010 um 22:32 Uhr)

Alt 23.03.2010, 22:40   #12
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



hehe *g ausgetrickst
ich glaub wenn wir hir fertig sind, werden wir festellen, dass Windoof auch ohne *.sys und *.drv läuft
nun gut....

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "rqzkkb" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\rqzkkb.sys" not found!
Deletion of driver "rqzkkb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.
erstmal thx für hilfe

Alt 23.03.2010, 22:49   #13
Sion
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Versuche jetzt wieder Malwarebytes. Wenn Update immer noch nicht geht, erstmal einen Quick-Scan.

Alt 23.03.2010, 22:53   #14
UrsusTr
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



HAAAAAAA! Bitdefender, MicrosoftSecurity, Kaspersky ....alle wieder da!!!
Guter Mann, öhm, oder Frau.

SION for President!

Das war's jetzt??
Egal, nochmals vielen Dank bis hierher.
Nun die 40€ für Kasperskys IS 2010 ihrer Bestimmung zuführen.
Dann beten und sehen was der neue Tag bring.

mbfG UrsusTr

Alt 23.03.2010, 22:59   #15
Sion
 
Löschen infizierter Datein - Standard

Löschen infizierter Datein



Zitat:
Zitat von UrsusTr Beitrag anzeigen
Das war's jetzt??
Wahrscheinlich nicht. Auf jeden Fall ist da noch die modifizierte atapi.sys.
Mach einen Update und einen Vollscan mit Malwarebytes. Ein Scan mit Kaspersky schadet natürlich auch nicht.

gez: Sion, der Mann

Antwort

Themen zu Löschen infizierter Datein
angriff, beenden, datei, dateien, einfach, erwischt, escan, festplatte, files, gelöscht, infektion, infizierte, lache, laden, löschen, namen, neuinstallation, nicht mehr, onlinescan, programme, security, sites, taskmanager, trojaner, viren, winxp



Ähnliche Themen: Löschen infizierter Datein


  1. GVU 2.12 infizierter Rechner - Windows XP 32-bit
    Log-Analyse und Auswertung - 17.07.2013 (7)
  2. Infizierter Rechner?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2013 (19)
  3. BSI Trojaner februar 2013, datein verschlüsselt mögliche rettung der Datein
    Log-Analyse und Auswertung - 25.02.2013 (9)
  4. Mit PUP.Blabbers infizierter Win7
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (15)
  5. locked-datein löschen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  6. Löschen aller meiner Datein
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (1)
  7. Windowssystem blockiert - Infizierter Nr.128398123
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (16)
  8. eScan Schädliche Datein löschen?
    Antiviren-, Firewall- und andere Schutzprogramme - 06.07.2011 (15)
  9. Infizierter Registrierungsschlüssel (Spyware.OnlineGames) ?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  10. Infizierter Rechner
    Log-Analyse und Auswertung - 16.07.2009 (0)
  11. infizierter Anhang
    Diskussionsforum - 12.12.2008 (4)
  12. Furchtbar infizierter Computer
    Log-Analyse und Auswertung - 04.12.2008 (2)
  13. Katastrophal infizierter Rechner!!!
    Mülltonne - 13.06.2008 (0)
  14. Extrem Infizierter Rechner!
    Log-Analyse und Auswertung - 14.10.2005 (7)
  15. infizierter PC?
    Log-Analyse und Auswertung - 26.06.2005 (18)
  16. Datein löschen sich einfach!HELP plz
    Plagegeister aller Art und deren Bekämpfung - 13.03.2005 (2)
  17. Schon wieder ein infizierter
    Log-Analyse und Auswertung - 05.02.2005 (1)

Zum Thema Löschen infizierter Datein - So! Nun hat's mich auch mal erwischt, kann in Zukunft nicht mehr über Freunde lachen, die sich mit Viren&Co rumplagen. Symptome der Infektion in zeitlicher Abfolge die updatefunktionen der WinFW - Löschen infizierter Datein...
Archiv
Du betrachtest: Löschen infizierter Datein auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.