Hallo Trojanerbekämpfer,

wie auch Ashcroft habe ich auch einen Virus, der fälschlich einen Antivirusscan durchführt. In der Taskleiste rechts unten wird "Windows Security Alert" angezeigt und es erfolgen Meldungen, es seien bestimmte Dateien "infected". Man wird folgend gefragt "Do you want to activate your antivirus software now?"
Alle solche Meldungen habe ich immer weggeklickt.
Egal mit welchem Browser ich ins Internet gehe, so wird nicht die gewünschte Seite geladen, sondern nur eine, in der mir mitgeteilt wird, die gewünschte Seite enthalte Malware. So wird auf eine Seite aufmerksam gemacht auf der man von "Antivirus Scan" Antivirus-Programme kaufen kann. Ich konnte einmal noch meinen McAffee-Scan durchlaufen lassen, der aber keine Probleme gefunden hat. Daraufhin wollte ich es mit Anti-Malwarebytes versuchen, das ich zum Bezwingen meines ersten und bisher letzten Virus' gedownloadet hatte. Doch ich kann keine einzige Datei und kein Programm mehr öffnen. Es folgen nur fälschliche "file infected"-Meldungen.
Wegen des oben genannten Internetproblems, kann ich auch nicht HijackThis downloaden und das Ergebnis hier posten. Ich muss zurzeit für meine Recherche und Meldung hier deshalb einen anderen PC benutzen.
Im Internet habe ich nur unprofessionelle Hilfe gefunden, siehe: h**p://news.loaris.com/de/antivirus-scan-rogue-how-to-uninstall-antivirus-scan-fake-anti-spyware/
Hier hätte ich fast einen weiteren Virus, nämlich "Loaris Trojan Remover" gedownloadet (Hier auf Trojaner-Board wurde er zumindest als solcher entlarvt).
Was soll ich tun? Kann es mir was nützen auf meinem "Virus"-PC in den "abgesicherten Modus" zu gehen.

Vielen Dank für Hilfe

T. Montana

im abgesicherten modus dann folgendes probieren
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Danke für die schnelle Antwort!

Die OTL.txt war zu groß zum hochladen, deswegen habe ich sie zweigeteilt...

Anhang 12114

Anhang 12115

Anhang 12116

ersetze *** durch usernamen im script!

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-69605746-3661007371-1336738957-1000..\Run: [hgxwksfq] C:\Users\***\AppData\Local\Temp\qetfhtdjq\cwjqridlajb.exe ()
:Files
C:\Users\***\AppData\Local\Temp\qetfhtdjq\cwjqridlajb
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne mein computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Hier das gewünschte Dokument:

Anhang 12237

Beim Neustart bin ich diesmal nicht in den abgesicherten Modus hineingegangen. Es kamen dann auf dem Desktop nicht mehr die "file ... infected" und "Windows Security Alert" Meldungen. Ins Internet bin ich nicht gegangen. Aber dann kam nach 2min ein "Fast Scan", den ich zuvor noch nicht gesehen hatte. Deswegen habe ich den Computer dann gleich runtergefahren und bin in den abgesicherten Modus gegangen.

Leider verstehe ich nicht deine Anweisungen, was ich mit den "moved files" im "OTL"-Ordner machen soll. Genauer versteh ich nicht, wie man nach dem Rechtsklick hinzufügt und was überhaupt hinzugefügt werden soll.

(Sry, wahrscheinlich stell ich mich einfach zu dämlich an. Habe bitte Nachsicht^^)

Thx

na du sollst rechtsklick und dann mit winrar oder zip den ordner moved files packen und dann hochladen.
danach weiter:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Dummerweise habe ich Probleme.
Die Moved Files sind zwar zip komprimiert, aber die Dateigröße beträgt ca. 300 kb, und man kann ja nur ca. 150kb hochladen. Leider kann ich die Datei auch nicht teilen, weil eine Anwendung so viel Platz raubt. Aber das einzige Textdokument in diesem Ordner, welches zum Hochladen leider eine ungültige Datei ist, hat diesen Inhalt:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-69605746-3661007371-1336738957-1000\Software\Microsoft\Windows\CurrentVersion\Run\\hgxwksfq deleted successfully.
C:\Users\Xandi\AppData\Local\Temp\qetfhtdjq\cwjqridlajb.exe moved successfully.
========== FILES ==========
File\Folder C:\Users\Xandi\AppData\Local\Temp\qetfhtdjq\cwjqridlajb not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default

User: Default User

User: Public

User: Xandi
->Flash cache emptied: 14215 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Xandi
->Temp folder emptied: 5769680 bytes
->Temporary Internet Files folder emptied: 25719562 bytes
->Java cache emptied: 2354282 bytes
->FireFox cache emptied: 111299825 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 24 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 292349 bytes
RecycleBin emptied: 144364821 bytes

Total Files Cleaned = 276,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01052011_235617

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Fürs Ausführen von ComboFix habe ich eigentlich bei meinem McAffee Total Protection alles deaktiviert, darunter auch den Echtzeitscanner und die Firewall. Dies habe ich mehrfach überprüft und den ComboFix neu ausgeführt. Trotzdem kommt folgende Meldung von ComboFix:

ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind:

antivirus: McAfee Anti-Virus und Anti-Spyware
antispyware: McAfee Anti-Virus und Anti-Spyware

Antivirus und Eindringling Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen. PC Schaden fuehren.
Bitte deaktiviere diese Scanner, bevor du 'OK' klickst.



Bisher habe ich immer ComboFix abgebrochen und McAfee überprüft. Aber da ist alles deaktiviert. Was soll ich weiter tun? Einfach trotzdem ComboFix laufen lassen?

hi, erst mal moved files. eigendlich sollte der upload klappen, bisher gehen da auch über 1 mb. versuchs mal bitte.

Ich würde ja gerne, aber es geht bzw. ich schaff es leider einfach nicht. Beim Upload-Versuch kommt immer diese Meldung:

Anhänge verwalten
Fehler beim Hochladen
MovedFiles.zip:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 146,5 KB. Ihre Datei ist 297,0 KB groß.

willst du die hier im thread anhängen? das sollst du aber nicht, oben ist der link zum upload channel!
hab ich ja auch geschrieben :-)

Ich brauch halt a bissal länger^^ Habs jetzt moved files über den Upload-Channel hochgeladen.

ahh! Ich brauch halt a bissal länger^^ Hab jetzt moved files über den Uploadchannel hochgeladen.

dann jetzt weier mit combofix.

Bei ComboFix habe ich ein Problem, das ich schon geschildert habe (vgl. bitte Antwort von mir am 06.01.2011 20:08). Ich habe eigentlich meinen McAfee Total Protection deaktiviert, aber es kommen trotzdem Meldungen, dass Echtzeit-Scanner noch aktiviert sind. Soll ich diese Meldungen übergehen und trotzdem ComboFix seine Arbeit tun lassen?

aso, hatte vergessen das zu beantworten, du kannst combofix überspringen lassen, dann sollte es trotzdem gehen