Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.10.2010, 21:41   #1
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Hallo!

Ich schreibe hier, da ich beim aktuellen Fall nicht weiter weiß.

Hier steht ein Notebook eines Bekannten, welches mit dem "Antivirus" Virus verseucht ist.

Vorgegangen bin ich nach der Anleitung im Board
http://www.trojaner-board.de/82597-s...entfernen.html

1. rkill beendete die Prozesse
2. Komplettscan Malwarebytes. Hier brauchte es einen Neustart zum Endgültigen Entfernen. Ergebnis war, dass einige Symbole weg waren, aber grundsätzlich wie vorher.
3. Hosts Expert kein Zugriff, da Hosts gesperrt.
4. Hab das gute bewährte (bei mir) Spybot Search and Destroy installiert. Hier wurde gefunden und gelöscht
- Fraud.Antivirus
- Win32.FraudLoad.pc
- Win32.FraudLoad.ss

Gefunden aber nicht gelöscht konnte
- Fraud.WindowsProtectionSuite
- Microsoft.Windows.RedirectedHosts

Eine Immunisierung funktionierte vorher wie nachher nicht.
Avira Antivir war installiert aber tauchte nicht als Aktiv auf.

Danach kam noch der CC Cleaner und danach RSIT.
Auch im Anschluss weiter Hosts gesperrt.

Achso ein Erneuter Komplettscan mit Malwarebytes brachte keine Vorkomnisse mehr.

Wie soll ich nun in diesem Fall weiter vorgehen?

Hab den Rechner jetzt immer noch in diesem Status laufen lassen. Bisher keine Meldung von dem Virus, allerdings sitzt er ja noch im System und würde nach einem Neustart wieder kommen.

Ich bitte um schnelle Hilfe, denn ich möchte das Notebook baldigst wieder geheilt zurückbringem und mehrere Tage Dauer-An ist auch nicht soo pralle.


Vielen Dank im Voraus an Alle!

Anbei das RSIT log.

Alt 07.10.2010, 10:18   #2
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



wo ist das Malwarebytes log mit den funden? spybot wieder deinstalieren, das taugt meist sowieso nicht viel.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten
__________________


Alt 07.10.2010, 18:56   #3
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Hallo und danke für die erste Hilfe!

Der Log von Malwarebytes sollte noch dem ersten Durchlauf entsprechen.

Hab soeben OTL mit den geforderten Einstellungen und Benutzerdefinierten Begriffen laufen lassen.

Es öffnete sich aber lediglich die OTL.txt. Eine Status.txt ist weder offen noch minimiert da. Hab ich etwas falsch eingestellt?


Anbei die Logs. Das Malwarebytes-log ist geteilt aufgrund der Dateigröße

Grüße
__________________
Angehängte Dateien
Dateityp: txt OTL.Txt (91,1 KB, 175x aufgerufen)
Dateityp: txt malwarebytes2.txt (49,4 KB, 193x aufgerufen)
Dateityp: txt mbam-log-2010-10-05 (21-55-17).txt (80,2 KB, 194x aufgerufen)

Alt 07.10.2010, 19:22   #4
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



hi, otl reicht erst mal.
deinstaliere spybot, es stört die reinigung, ich persönlich würds auch nicht mehr instalieren. ist nicht sonderlich nützlich.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Kpowiliyojoqo] C:\WINDOWS\mdrchap.DLL ()
O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Smart Security] File not found
[2010.10.04 17:17:50 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Truzagabobitu.bin
[2010.09.29 00:36:38 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Blayahasafo.dat
:FILES
:Commands
[purity]
[EMPTYFLASH]
[resethosts]

[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne den arbeitsplatz, c: dort rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen. lade dieses archiv hoch:
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

Alt 07.10.2010, 19:46   #5
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Log anbei.

Neustart ohne den Antivirus Mist. Nur die Fehlermeldung
"Fehler beim Laden von C:\WINDOWS\mdrchap.dll"

Ob dies mit der Reinigung zu tun hat kann ich nicht sicher sagen.

_OTL hochgeladen.


MfG

Angehängte Dateien
Dateityp: txt 10072010_203451.txt (5,4 KB, 195x aufgerufen)

Alt 07.10.2010, 20:06   #6
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



bitte keine eile :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alt 07.10.2010, 20:52   #7
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Nach Installation und herunterladen der Wiederherstellungskonsole startete der Scan.

Leider wurde dieser nach kurzem Suchen mit folgender Meldung unterbrochen:

"Combofix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten"

Nach Auto-Reboot werkelte das Programm fröhlich los.
Nochmal Auto-Reboot -Logdatei und die Fehlermeldung.

Wie dem auch sei, fertiges Log im Anhang.

Bin ja echt begeistert von der Hilfe und den vielen pfiffigen Tools hier.
Angehängte Dateien
Dateityp: txt log_combofix.txt (10,7 KB, 204x aufgerufen)

Alt 07.10.2010, 21:00   #8
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



start programme zubehör editor, kopiere rein.
Killall::
Rootkit::
c:\windows\usikekibehav.dll
Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SMJSSOS

datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet. name
cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.
öffne nun den arbeitsplatz, dort c: dort rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen und das archiv in unserem upload channel hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html


download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Alt 07.10.2010, 21:56   #9
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Hallo!

Anbei die Logs. Combofix wurde hochgeladen wie gehabt.

Übrigens hab ich seit dem vorletztens Step beim Start immer für eine Sekunde ein Betriebssystemauswahlmenü. Irgendwas mit Debug oder so steht da noch dabei. Lädt aber sofort das normale System.


MWB hatte nach dem entfernen nun wieder einen Neustart gefordert.

Was gibt es als nächstes zu tun? Werde mich mal ausklinken, bis morgen und nochmals danke!
Miniaturansicht angehängter Grafiken
-screenshot-mwb.jpg  
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-07 (22-53-06).txt (2,3 KB, 187x aufgerufen)

Alt 08.10.2010, 09:21   #10
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



bitte nutze den ccleaner, dateien + registry bereinigen.
http://www.trojaner-board.de/51464-a...-ccleaner.html
das menü am anfang entfernen wir zum schluss.

1. taucht die fehlermeldung noch auf?
2. wie läuft der pc

Alt 08.10.2010, 18:39   #11
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



CC Cleaner hat erfolgreich gesäubert und in der Registry 22 Fehler behoben. Es tauchten auch keine neuen auf.


Nach einem Neustart erscheint keine Fehlermeldung und der PC macht einen richtig guten und flotten Eindruck.

Alt 08.10.2010, 18:48   #12
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



ok öffne jetzt den ccleaner. extras, liste der instalierten programme.
diese speicherst du als txt
diese txt öffnest du, hinter notwendige programme schreibe notwendig, hinter nicht benötigte unnötig und hinter unbekannte, unbekannt. diese liste posten.

Alt 08.10.2010, 19:09   #13
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



Anbei die Datei.

Im Zweifelsfall eher mehr unnötige Pampe weg.
Angehängte Dateien
Dateityp: txt install.txt (5,9 KB, 150x aufgerufen)

Alt 08.10.2010, 19:36   #14
markusg
/// Malware-holic
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



ok los gehts.
Adobe Reader 8.1.2
deinstalieren und ersetzen durch:
Adobe - Adobe Reader herunterladen - Alle Versionen
öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
bitte noch unnötige plugins verschieben:
http://computer.t-online.de/adobe-re...15363164/index
behalte aber:
EScript.api
Escript.deu
Search.api
Search.DEU

deinstaliere:
Ad-Aware SE Personal Lavasoft
Adobe AIR
Bonjour wird von den meisten nicht benötigt und wird von apple ungefragt mit instaliert.
DivX zeug weg, vlc is gut :-)
Google Toolbar
Java(TM) 6 Update 17 updaten:
Download der kostenlosen Java-Software
weiter mit deinstalationen:
Launch Manager
Media Library Management Wizard
Movie Maker kannst ja mal nachfragen und wenn ers weg haben will, dann runter damit
PowerProducer wird zum dvd erstellen gebraucht, falls nicht benötigt, weg

Vodafone Mobile Connect
das ganze bonus zeug für den media player kann im prinzip weg.
wir solltem dem mal nen antiviren programm spendieren.
wie läuft der pc jetzt nach den instalationen?

Alt 10.10.2010, 12:45   #15
Unforgiven
 
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Standard

Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.



So, also nachdem ich einigen Mist deinstalliert habe, hab ich einen frischen avira antivir aufgesetzt und versucht adobe und java zu installieren. Leider hat dies aus irgendwelchen Gründen nicht geklappt. Nach ner guten halben Stunde immer noch kein Fortschritt. An nem andren PC im gleichen Netzwerk (nur eine Buchse nebendran ;-) ) klappts - kann also nicht am Router liegen.

Ja danach hab ich erst mal händig ein windowsupdate angewiesen und ca 80 Updates installieren lassen.
Da dies einige Zeit beansprucht hat, bin ich zwischendurch weg gewesen (Laptop war am Netz)

Nach meiner Rückkehr waren die Updates installiert, aber avira heulte los wegen einem Rootkit.Gen.3 siehe Screenshots im Anhang.

Meinem Anschein nach lief der Rechner wieder wunderbar und sauber. Hatte eben nur av installiert, da ich ins netz musste.
Was machen wir nun? :-(
Miniaturansicht angehängter Grafiken
-av_log.jpg   -prozesse.jpg   -rootkit_gen3.jpg  

Antwort

Themen zu Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.
aktiv, aktuelle, anleitung, anschluss, antivirus, cleaner, ergebnis, geblockt, gen, kein zugriff, log, meldung, neustart, notebook, rechner, scan, schnelle hilfe, spybot, spybot search and destroy, system, verseucht, virus, virus verseucht, win, zugriff



Ähnliche Themen: Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.


  1. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  2. Windows 7 32-Bit: Antivir stellt Trojaner "TR/Sirefef.AB.78" fest. Lässt sich nicht löschen
    Log-Analyse und Auswertung - 04.06.2015 (23)
  3. PC läuft recht langsam und "frißt sich manchmal fest"
    Plagegeister aller Art und deren Bekämpfung - 03.06.2014 (19)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Virus als Antivirus "Attentive Antivirus"
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (12)
  6. Virus, der sich als Antivirenprog tarnt, "Attentive Antivirus"
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (13)
  7. 100 Euro "Bundespolizei" Virus (Zugriff ohne Bildschirmübernahme durch Virus möglich)
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (34)
  8. Gibt es einen Schutz vor "Malware Defense", "Antivirus 2010pro" und Co?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.12.2012 (25)
  9. 50 € Virus Windows wird "geblockt"
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (30)
  10. Bug: hosts-perm.bat funktioniert nicht bei Berechtigung "Schreiben für jeden verweigern"
    Lob, Kritik und Wünsche - 30.12.2011 (5)
  11. HILFE! WISO Mein Geld meldet kritische Veränderungen in der Datei "Hosts" !!! Was tun?!?
    Log-Analyse und Auswertung - 25.03.2011 (1)
  12. Hänge im Bios fest
    Alles rund um Windows - 08.05.2010 (3)
  13. Hänge im abgesicherten Modus fest
    Plagegeister aller Art und deren Bekämpfung - 03.12.2009 (65)
  14. Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2008 (56)
  15. "Hijacked Internet access by WebHancer" installiert "Antivirus 2009 XP"
    Log-Analyse und Auswertung - 18.08.2008 (1)
  16. Problem mit "C:\WINDOWS\system32\drivers\etc\hosts"
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (5)
  17. Dateien "mssys.exe" und "hosts.sam"
    Plagegeister aller Art und deren Bekämpfung - 25.01.2004 (1)

Zum Thema Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. - Hallo! Ich schreibe hier, da ich beim aktuellen Fall nicht weiter weiß. Hier steht ein Notebook eines Bekannten, welches mit dem "Antivirus" Virus verseucht ist. Vorgegangen bin ich nach der - Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt....
Archiv
Du betrachtest: Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.