Hallo!

Ich schreibe hier, da ich beim aktuellen Fall nicht weiter weiß.

Hier steht ein Notebook eines Bekannten, welches mit dem "Antivirus" Virus verseucht ist.

Vorgegangen bin ich nach der Anleitung im Board
http://www.trojaner-board.de/82597-s...entfernen.html

1. rkill beendete die Prozesse
2. Komplettscan Malwarebytes. Hier brauchte es einen Neustart zum Endgültigen Entfernen. Ergebnis war, dass einige Symbole weg waren, aber grundsätzlich wie vorher.
3. Hosts Expert kein Zugriff, da Hosts gesperrt.
4. Hab das gute bewährte (bei mir) Spybot Search and Destroy installiert. Hier wurde gefunden und gelöscht
- Fraud.Antivirus
- Win32.FraudLoad.pc
- Win32.FraudLoad.ss

Gefunden aber nicht gelöscht konnte
- Fraud.WindowsProtectionSuite
- Microsoft.Windows.RedirectedHosts

Eine Immunisierung funktionierte vorher wie nachher nicht.
Avira Antivir war installiert aber tauchte nicht als Aktiv auf.

Danach kam noch der CC Cleaner und danach RSIT.
Auch im Anschluss weiter Hosts gesperrt.

Achso ein Erneuter Komplettscan mit Malwarebytes brachte keine Vorkomnisse mehr.

Wie soll ich nun in diesem Fall weiter vorgehen?

Hab den Rechner jetzt immer noch in diesem Status laufen lassen. Bisher keine Meldung von dem Virus, allerdings sitzt er ja noch im System und würde nach einem Neustart wieder kommen.

Ich bitte um schnelle Hilfe, denn ich möchte das Notebook baldigst wieder geheilt zurückbringem und mehrere Tage Dauer-An ist auch nicht soo pralle.


Vielen Dank im Voraus an Alle!

Anbei das RSIT log.

wo ist das Malwarebytes log mit den funden? spybot wieder deinstalieren, das taugt meist sowieso nicht viel.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Hallo und danke für die erste Hilfe!

Der Log von Malwarebytes sollte noch dem ersten Durchlauf entsprechen.

Hab soeben OTL mit den geforderten Einstellungen und Benutzerdefinierten Begriffen laufen lassen.

Es öffnete sich aber lediglich die OTL.txt. Eine Status.txt ist weder offen noch minimiert da. Hab ich etwas falsch eingestellt?


Anbei die Logs. Das Malwarebytes-log ist geteilt aufgrund der Dateigröße

Grüße

hi, otl reicht erst mal.
deinstaliere spybot, es stört die reinigung, ich persönlich würds auch nicht mehr instalieren. ist nicht sonderlich nützlich.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Kpowiliyojoqo] C:\WINDOWS\mdrchap.DLL ()
O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Smart Security] File not found
[2010.10.04 17:17:50 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Truzagabobitu.bin
[2010.09.29 00:36:38 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Blayahasafo.dat
:FILES
:Commands
[purity]
[EMPTYFLASH]
[resethosts]

[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne den arbeitsplatz, c: dort rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen. lade dieses archiv hoch:
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

Log anbei.

Neustart ohne den Antivirus Mist. Nur die Fehlermeldung
"Fehler beim Laden von C:\WINDOWS\mdrchap.dll"

Ob dies mit der Reinigung zu tun hat kann ich nicht sicher sagen.

_OTL hochgeladen.


MfG

bitte keine eile :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Nach Installation und herunterladen der Wiederherstellungskonsole startete der Scan.

Leider wurde dieser nach kurzem Suchen mit folgender Meldung unterbrochen:

"Combofix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten"

Nach Auto-Reboot werkelte das Programm fröhlich los.
Nochmal Auto-Reboot -Logdatei und die Fehlermeldung.

Wie dem auch sei, fertiges Log im Anhang.

Bin ja echt begeistert von der Hilfe und den vielen pfiffigen Tools hier.

start programme zubehör editor, kopiere rein.
Killall::
Rootkit::
c:\windows\usikekibehav.dll
Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SMJSSOS

datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet. name
cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.
öffne nun den arbeitsplatz, dort c: dort rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen und das archiv in unserem upload channel hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html


download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Hallo!

Anbei die Logs. Combofix wurde hochgeladen wie gehabt.

Übrigens hab ich seit dem vorletztens Step beim Start immer für eine Sekunde ein Betriebssystemauswahlmenü. Irgendwas mit Debug oder so steht da noch dabei. Lädt aber sofort das normale System.


MWB hatte nach dem entfernen nun wieder einen Neustart gefordert.

Was gibt es als nächstes zu tun? Werde mich mal ausklinken, bis morgen und nochmals danke!

bitte nutze den ccleaner, dateien + registry bereinigen.
http://www.trojaner-board.de/51464-a...-ccleaner.html
das menü am anfang entfernen wir zum schluss.

1. taucht die fehlermeldung noch auf?
2. wie läuft der pc

CC Cleaner hat erfolgreich gesäubert und in der Registry 22 Fehler behoben. Es tauchten auch keine neuen auf.


Nach einem Neustart erscheint keine Fehlermeldung und der PC macht einen richtig guten und flotten Eindruck.

ok öffne jetzt den ccleaner. extras, liste der instalierten programme.
diese speicherst du als txt
diese txt öffnest du, hinter notwendige programme schreibe notwendig, hinter nicht benötigte unnötig und hinter unbekannte, unbekannt. diese liste posten.

Anbei die Datei.

Im Zweifelsfall eher mehr unnötige Pampe weg.

ok los gehts.
Adobe Reader 8.1.2
deinstalieren und ersetzen durch:
Adobe - Adobe Reader herunterladen - Alle Versionen
öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
bitte noch unnötige plugins verschieben:
http://computer.t-online.de/adobe-re...15363164/index
behalte aber:
EScript.api
Escript.deu
Search.api
Search.DEU

deinstaliere:
Ad-Aware SE Personal Lavasoft
Adobe AIR
Bonjour wird von den meisten nicht benötigt und wird von apple ungefragt mit instaliert.
DivX zeug weg, vlc is gut :-)
Google Toolbar
Java(TM) 6 Update 17 updaten:
Download der kostenlosen Java-Software
weiter mit deinstalationen:
Launch Manager
Media Library Management Wizard
Movie Maker kannst ja mal nachfragen und wenn ers weg haben will, dann runter damit
PowerProducer wird zum dvd erstellen gebraucht, falls nicht benötigt, weg

Vodafone Mobile Connect
das ganze bonus zeug für den media player kann im prinzip weg.
wir solltem dem mal nen antiviren programm spendieren.
wie läuft der pc jetzt nach den instalationen?

So, also nachdem ich einigen Mist deinstalliert habe, hab ich einen frischen avira antivir aufgesetzt und versucht adobe und java zu installieren. Leider hat dies aus irgendwelchen Gründen nicht geklappt. Nach ner guten halben Stunde immer noch kein Fortschritt. An nem andren PC im gleichen Netzwerk (nur eine Buchse nebendran ;-) ) klappts - kann also nicht am Router liegen.

Ja danach hab ich erst mal händig ein windowsupdate angewiesen und ca 80 Updates installieren lassen.
Da dies einige Zeit beansprucht hat, bin ich zwischendurch weg gewesen (Laptop war am Netz)

Nach meiner Rückkehr waren die Updates installiert, aber avira heulte los wegen einem Rootkit.Gen.3 siehe Screenshots im Anhang.

Meinem Anschein nach lief der Rechner wieder wunderbar und sauber. Hatte eben nur av installiert, da ich ins netz musste.
Was machen wir nun? :-(