CCleaner:

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 9.20		
Adobe Acrobat 4.0	Adobe Systems, Inc.	4.0
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	10.2.152.32
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	10.2.152.32
Adobe Shockwave Player 11.5	Adobe Systems, Inc.	11.5.9.620
Advanced SystemCare 3	IObit	3.7.3
AGEIA PhysX v6.10.25	AGEIA Technologies, Inc.	6.10.25
ATI - Dienstprogramm zur Deinstallation der Software		6.14.10.1022
ATI Catalyst Control Center		2.010.0210.2338
ATI Display Driver		8.593.100-100210a-095952E-ATI
BitTorrent		7.2.0
CCleaner	Piriform	3.04
Combat Arms EU		
DivX-Setup	DivX, LLC	2.4.0.6
EA SPORTS(TM) FIFA Online	Electronic Arts	1.0.1.1
Eusing Free Registry Cleaner		
Free Audio CD Burner version 1.4.7	DVDVideoSoft Limited.	
Free YouTube to MP3 Converter version 3.9.35.324	DVDVideoSoft Limited.	
Freeware Berliner U-Bahn Linie E (U5) V.1.2  Addon für MS-Trainsimulator	Martin Hohberg	1.2.
Game Booster	IObit	3.0.0.0
Google Earth	Google	6.0.1.2032
GTA2		1.00.001
IObit Security 360	IObit	1.0
IrfanView (remove only)	Irfan Skiljan	4.28
Java(TM) 6 Update 24	Oracle	6.0.240
Malwarebytes' Anti-Malware	Malwarebytes Corporation	
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	4.0.30319
Microsoft .NET Framework 4 Extended	Microsoft Corporation	4.0.30319
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	8.0.59193
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	10.0.30319
Nero Toolbar	Ask.com	1.6.9.0
OnLive	OnLive	
OpenAL		
OPERATION7		
PCI Audio Driver		
PowerISO	PowerISO Computing, Inc.	4.7
Realtek AC'97 Audio	Realtek Semiconductor Corp.	5.36
ScanSpyware 3.9.2.2	ScanSpyware.Net	3.9.2.2
Smart Defrag 2	IObit	Beta 2.0
Spybot - Search & Destroy	Safer Networking Limited	1.6.2
TRS2004		1.00.000
TuneUp Utilities 2011	TuneUp Software	10.0.3010.9
Uninstall 1.0.0.1		
Unlocker 1.9.0	Cedrick Collomb	1.9.0
VLC media player 1.1.7	VideoLAN	1.1.7
Warzone 2100	Warzone 2100 Project	master_20110228
Windows Internet Explorer 8	Microsoft Corporation	20090308.140743
WinRAR 4.00 (32-bit)	win.rar GmbH	4.00.0
         

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...)

Und noch ein paar andere ...

Passwörter oder so wurden nicht geändert, hab auch keinen Brief von meiner Bank! Aber Google sagt ja schonmal was böses ...

Ich brauche schnell Hilfe, wir müssen ins OnlineBanking und ich hab auch Accounts auf Spielen die sehr wichtig sind! Aber es wird ja hauptsächlich auf das OnlineBanking abgesehen ...

ist schon in Ordnung, aber leider habe schlechte Nachrichten für Dich!

Zitat:

Zitat von Prevof

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...)

Und noch ein paar andere ...

Zur Info:

Zitat:

Computerwurms W32/Ramnit.
Der Infektionsweg erfolgt über infizierte ausführbare Dateien und mit VisualBasic "angereicherte" HTML-Dateien.

Sobald der Computerwurm aktiviert wird, beginnt er sich zu vermehren: Er erstellt in dem Verzeichnis, in dem er ausgeführt wird eine neue Datei namens "Mgr.exe", die ihrerseits ausgeführt wird und sich unter dem Dateinamen "WaterMark.exe" nach "C:\%ProgramDir%\Microsoft\" kopiert und ebenfalls ausgeführt wird. Erst jetzt beginnt der Wurm PE-Dateien und HTML-Dateien auf dem System zu suchen und zu infizieren. Bei der Infektion von HTML-Dateien injiziert er an das Ende der Datei (hinter das -Tag ein VBScript, das ein Stück Malware auf dem Zielcomputer ablegt: svchost.exe. Vom Namen her ein alter Bekannter, allerdings nicht in seinem angestammten Verzeichnis, sondern im Temp-Verzeichnis des angemeldeten Benutzers. Die falsche svchost.exe wird dann über den Windows Scripting Host gestartet.

W32/Ramnit.C wäre kein richtiger Wurm, würde er nicht gelegentlich nach Hause telefonieren um nach dem Rechten zu fragen. In diesem Fall nutzt er in der Regel Port 443, der normalerweise für HTTPS-Verbindungen verwendet wird und daher bei den meisten Firewalls nicht geschlossen ist. Da das allein aber oftmals nicht vor Entdeckung schützt, injiziert sich der Wurm auch in eine versteckte Instanz des Internet Explorers, um so unentdeckt Kontakt mit seinem Command und Control Server aufzunehmen.

- Der Infektionsweg erfolgt über infizierte ausführbare Dateien und mit VisualBasic "angereicherte" HTML-Dateien. Wenn eine Datei ausgeführt wird, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. Verbreitet sich auf diese Weise sehr schnell im Dateisystem.

- Jede Behauptung zur Behandlung oder Heilung ein durch File-Infector befallenen Computer, ist nur eine irrige Behauptung! Sobald der Computerwurm aktiviert wird, erfasst wohl jede Art von startenden Programmen! Sind da keine Ausnahme natürlich auch Antivirusprogramme, Firewall, Browser, C:\I386 etc
So zu sagen das gesamte System ist schon infiziert!
- Also statt Systemreinigung, der vorgeschlagenen Maßnahmen: Format C und Neuinstallation von Windows - um sicher zu gehen, keine Daten sichern. Reine Daten-Dokumente – insbesonders Bilddateien (und Office-Dokumente) – können ausführbaren Code enthalten und somit gefährlich sein
Wenn Du auch noch externe Medien wie USB-Stick oder eine externe Festplatte usw hast, solltest auch miteinbeziehen, da die Gefähr zu gross, dass da all diese Datenträger auch bereits befallen sind und be anschließen wird dein PC wieder infiziert. Eine einzige infizierte Datei reicht aus, das neu aufgesetze System wieder komplett lahmzulegen!

Nun, also kein einziges Virenprogramm findet den Ramnit nicht mehr ... Ich hab auch keine weiteren Dateien gefunden, außer die von dem (verdammten) SpyEye ...

Malwarebytes hat ja Ramnit gelöscht, danach hat er ja überhaupt nichts mehr gefunden! Auch meiner anderen Tools finden nix mehr ... und den SpyEye können sie anscheinend wegen dem Rootkit nicht finden. Er findet ja nur die "gjpfbass.exe", die zum Virus gehört. Ich hab schon tausende Methoden versucht, diese zu löschen aber sie öffnet sich immer wieder. Der soll ja den Registryeintrag "Run" verändert haben. Die Datei befindet sich (mit einem Ordner) auf C:/Program Files/xdbpqajc

Ich habe auch keine Mgr.exe oder WaterMark.exe gefunden, nur "Herr SpyEye" hat sich in die ganzen Programme, die ich starte, reingenistet (Was ich nicht verstehe, der will doch eigt. nur die OnlineBankingDaten haben ...) ... den Internet Explorer benutze ich nicht.

Können wir riskieren, weiterzumachen und versuchen, den SpyEye zu "killen"?

Eine Neuinstallation ist sehr umständlich für mich, da ich danach wieder Spiele (Insgesamt über 30 GB) und Dateien (Sind sehr wichtige dabei) erstellen / downloaden muss. Aber wenn es nicht anders geht, mache ich das natürlich.

Gruß,
Prevof

Zitat:

Zitat von Prevof

Nun, also kein einziges Virenprogramm findet den Ramnit nicht mehr ...

Malwarebytes hat ja Ramnit gelöscht, danach hat er ja überhaupt nichts mehr gefunden! Auch meiner anderen Tools finden nix mehr ...

das hat noch keine Bedeutung, versteckt..verborgen, unbekannt...dann finden sie natürlich auch nicht.

Zitat:

Zitat von Prevof

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...) <- sieht nach Vundo-Rootkit aus

beste Beweis dafür, dass einige..viele..alle (weil ja normalerweise alles was startet wird gleich erfasst)? Dateien bereits befallen sind

Zitat:

Zitat von Prevof

und den SpyEye können sie anscheinend wegen dem Rootkit nicht finden.

Ahja...Rootkit, ist das versteckte Gefahr! Das ist mittlerweile sehr populären Wort im Computerleben. Nämlich Rootkits besitzen die Fähigkeiten, schädliche Dateien und Prozesse so zu verstecken, dass wir, Spezialtools und auch das Antivirenprogramm scheitert, denn unsichtbare Dateien können sie nicht scannen bzw "sehen" können!

Zitat:

Zitat von Prevof

Ich habe auch keine Mgr.exe oder WaterMark.exe gefunden

Natürlich die Dateinamen ändern sich ständig, gestern war noch mittwoch.exe, heute donnerstag.exe...

Zitat:

Zitat von Prevof

Können wir riskieren, weiterzumachen und versuchen, den SpyEye zu "killen"?

Wir können natürlich einen Versuch starten

Zitat:

Zitat von Prevof

Eine Neuinstallation ist sehr umständlich für mich, da ich danach wieder Spiele (Insgesamt über 30 GB) und Dateien (Sind sehr wichtige dabei) erstellen / downloaden muss.

Irgendwann muss das sein! Früher oder später ist bei jedem Computer eine Neuinstallation fällig. Entweder wegen einem Viren/Spywarebefall, oder weil das installierte Betriebssystem mit der Zeit einfach zu langsam geworden ist zugemühlt. Eine Festplatte hält halt auch nicht ewig!

- Also machen wir dann weiter? Wenn Du das Glück hast, können wir dein System einigermaßen gut hinzukriegen, aber dein Speicher wird 100%ig nie sauber!
- Was ist Datenträger "i"?

Huhu,

Also wenn du weitermachen willst, mach ich natürlich mit. Mir wäre diese Option nämlich lieber.

Neuinstallation hatte ich ja vor ~ 10 Tagen ungefähr gemacht und das hat gedauert bis ich alle Programme etc. wieder hatte.

Was Datenträger I ist, weiß ich nicht. Kann ein virtuelles Laufwerk sein.

Zitat:

Zitat von Prevof

Was Datenträger I ist, weiß ich nicht. Kann ein virtuelles Laufwerk sein.

schaue Dir die Funde von Malwarebytes an!:-> http://www.trojaner-board.de/96917-f...tml#post634157

Und so geht`s weiter:
-> Malware-Scan mit Emsisoft Anti-Malware 5.0

Ohne Hintergrundwächter durchsucht Emsisoft Anti-Malware 5.0 den Computer auf Befall von Trojanern, Spyware, Adware, Würmern, Keyloggern, Rootkits, Dialern und anderen schädlichen Programmen. Das Programm ist geeignet für für Windows 98, ME, 2000, XP, 2003 Server und Vista.

• Lade die Gratisversion von => Emsisoft Anti-Malware 5.0 herunter und installiere das Programm.
• Lade über Jetzt Updaten die aktuellen Signaturen herunter.
• Wähle den Freeware-Modus aus.
• Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
• Am Ende des Scans alle Funde markieren und über den Button Ausgewählte in Quarantäne schicken.
• Über den Button Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten

Achso, Datenträger i: kenne ich nicht, aber der Recyler gehört zum Papierkorb (Da waren anscheinend die Viren drinnen, hab den schon völlig entleert) ... kann eigt. auch nur der Papierkorb sein, da immer wenn ich etwas lösche es dort auftaucht. Der RECYCLER ist auch eine unsichtbare Systemdatei ...

Warum i: angezeigt wird, weiß ich wiegesagt nicht.

Ich downloade gerade Emsisoft, Logs kommen bald!

EDIT: Er hat bisjetzt 567 Dateien gefunden, davon sind fast alle .htm-Dateien. SpyEye, Ramnit und Dropper. Ich werde im Laufwerk G: abbrechen, da dort nur 1 Spiel ist und ich es extra dort installiert hat. Das Spiel hat 10 GB und hab schon mit jedem Programm durchlaufen lassen. Würde zulange dauern da ich noch eine Besprechung über TeamSpeak oder Skype habe (Noch nicht installiert) ... aber C: und D: lasse ich voll durchscannen!

Das ganze würde schneller gehen, wenn dieser nicht-löschbare-Ordner nicht da wäre, wo keine Viren drauf sind. Aber naja, ich lass ihn jetzt einfach scannen - muss dann sowieso erstmal zum Arzt ...