"System Care Antivirus" hat meinen Rechner in seiner Gewalt
 

Hallo liebe Menschen vom Trojaner-Board,


es wäre so toll, wenn Ihr mir helfen könntet!

Mein Rechner ist (mindestens) in der Macht von "System Care Antivirus". Was immer ich öffnen möchte, wird von Systemcare geblockt. Ich habe (dämlicherweise) beim Surfen bei einer Aufforderung zum Java-Update auf "nein" geklickt, anstelle das Fenster zu schliessen. Ich schäme mich sehr, aber nun ist es passiert...

Anvira Antivirus kann ich zwar starten, es findet aber nichts böses.

google und die Boardsuche habe ich benutzt. Bei google fand ich die Möglichkeit des neu aufsetzens, alternativ den gruseligen Tip, Systemcare sein Schutzgeld zu zahlen und Euer Board. Zwar habt Ihr hier diverse Anleitungen, wie man das Ding entfernt, aber Ihr schreibt auch immer, man solle das als Laie auf keinen Fall einfach so und ohne Ahnung alleine tun. Bevor ich also den Hamster in die Mikrowelle schiebe, frage ich Euch um Hilfe. Hilfe!

Momentan bin ich im abgesicherten Modus.

Schritt eins und zwei Eurer Anweisung konnte ich befolgen. defogger und OTL.exe haben funktioniert, anbei die .txt Dateien.

Gmer hat hat seinen Scan durchgeführt, während ich nichts an dem Computer gemacht habe. Dann habe ich nach Anweisung auf Save geklickt, und Gmer hat wieder Dinge getan. Ich bin dann gegangen, weil es schon ziemlich spät war. Am nächsten Tag konnte ich aber keinen Logfile speichern, weil der Rechner sich neu gestartet hatte mit dem Hinweis, das ein schwerwiegender Fehler aufgetreten sei und das System neu gestartet wurde. Natürlich war der Rechner da nichtmehr im abgesicherten Modus. Er hat immerhin auch nichtmehr diese tausend angeblichen Virenmeldungen fabriziert. Ich wollte aber trotzdem Euren Anweisungen Folge leisten, bin sicherheitsweise (immer als Admin, falls das wichtig ist) wieder in den abgesicherten Modus gegangen und habe Gmer nochmal gestartet. Das war vemutlich ziemlich blöd, weil Gmer meinte, es sei nichts verändert worden und es keinen Text zum hier Einbinden mehr gab.

Ich kann leider nicht sicher sagen, dass zwischendurch nichts am Rechner gemacht wurde, weil *hüstel* manchmal die Bürokatze über die Tastatur läuft...

Ich wäre so dankbar, wenn mir hier jemand helfen könnte, wieder einen sauberen Rechner zu kriegen!!!

Wenn ich verzögert auf eine Antwort reagiere, wird das nicht an einem Mangel an Interesse meinerseits liegen, sondern daran, dass ich nur zu Kindergartenzeiten oder nach der Nachtschicht ins Büro komme.


Vielen Dank schon vorab für Eure Aufmerksamkeit und Lebenszeit,

mit freundlichen Grüßen,

Fredda.



OTL:


Extras:

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:






Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Vielen Dank für Deine superschnelle Antwort!

Der Echtzeitscanner von Avira Antivir wollte sich für ComboFix nicht beenden lassen, bzw beim Versuch, ihn zu beenden, hat sich Avira reproduzierbar aufgehangen. Ich habe Avira nun deinstalliert. Vielleicht ist das wichtig?

Nach meinem Post werde ich das Büro für heute leider verlassen müssen, dies ist aber kein Zeichen von mangelnder Motivation. Ich bin unglaublich glücklich, hier Hilfe zu bekommen!!!


AdwCleaner[S1].txt

AdwCleaner Logfile:




ComboFixLog.txt

Combofix Logfile:

Das ist okay, wir installieren später einen anderen Scanner.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Alles erledigt und es traten keine Probleme auf. :)

Gleich endet der Kindergarten, aber ich werde nach der Spätschicht weitermachen können.
Das das Ding meine externen Platten infiziert haben könnte, war tatsächlich meine größte Angst. Das wäre ja auch mit neu Aufsetzen nicht behoben worden.

Danke!!!


Malwarebytes:
mbam-log-2013-05-08 (10-02-59).txt

ESET:
log.txt

SecurityCheck:
checkup.txt

Nein, aber es ist soweit alles okay.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

So, Schritt 1 Tools deinstallieren hat geklappt.
ESET möchte ich behalten.
Systemupdates sind ausgeführt.
Die gewöhnlichen Küchenhelfern wie Adobe Reader und Co sind alle aktualisiert.
Avast Free Antivirus ist mein neuer Virenscanner.
Zum Thema sicheres Surfen: in Zukunft werde ich sehr misstrauisch sein, wenn ich mir Bilder von Fangschreckenkrebsen (die sehen wirklich unweltlich aus) im Netz anschauen möchte!
An Firefox lag es ja leider nicht. Meine Unachtsamkeit war das Problem...



Zwei Fragen hätte ich noch:

Gefühlt dauert das Hochfahren nun länger, als vor der Infektion, kann das sein?

Beim Hochfahren, knapp bevor "Windows wird gestartet" in der hohen Auflösung erscheint, piepst mein Rechner kurz on board. Was will er mir damit sagen, und kann das was mit dem Befall oder seiner Entfernung zu tun haben?


Es kann sein, dass ich erst am Montag zur Kindergartenzeit weiter werkeln kann. Immer diese Feiertage...


Und: Danke!!! Danke!!! Danke!!!








(Und falls der Verfasser von System Care Antivirus hier mal reinschauen sollte: Ich haue auch Mädchen!)

Hm es könnte eine Nebenwirkung sein.

HDD-Controller-Treiber zurücksetzen nach Scan mit GMER
(Originalwebseite und mit freundlicher Genehmigung von Hans-Georg Michna)

• Mache einen Rechtsklick auf diesen LINK, wähle "Ziel speichern unter ..." und speichere es auf deinem Desktop.
• Fall die Datei als resetdma.vbs.txt gespeichert wird, benenne sie um in resetdma.vbs
• Starte die Skriptdatei und lasse die Ausführung zu. Achtung Virenscanner könnten anschlagen.
• Falls das Programm etwas gefunden und repariert hat starte deinen Computer neu.
• Berichte ob sich die Performance verbessert hat.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/

Wie angekündigt, konnte ich einige Tage leider nicht an den Rechner.

Resetdma.vbs konnte nichts finden.

Insgesamt läuft aber alles stabil, nur das Hochfahren dauert etwas länger. Solange das gute Stück also nicht explodiert, kann ich normal arbeiten.

Hört sich das eher nach neu Aufsetzen oder nach ignorieren und Weiterarbeiten an?

Nun könnte ich beruhigt neu Aufsetzen, weil meine Datenplatten jetzt ja nachweislich sauber sind. Ich hatte mich mit meiner Backup-Platte nur gegen eine Rechnerausfall gewappnet, nicht gegen eine Übernahme durch eine fremde Macht...

Aus meiner Sicht ist das Neuaufsetzen nicht wirklich nötig. Aber so ein Schnitt hat auch immer seine guten Seiten. Das ist also deine Entscheidung :)

Ok, dann werde ich einfach weiter machen wie bisher und natürlich vermehrt auf Sicherheit achten.


Lieber ryder,

ich bin Dir für Deine schnelle und auch für Laien verständliche Hilfe unendlich dankbar!

Vielen Dank,
mögen Kirschblüten galore Deinen Weg bedecken,

Fredda.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/