boo/whistler.db im Masterbootsektor gefunden
 

Hallo und einen guten Morgen,
ich hoffe, das ist in Ordnung, wenn ich dazu ein neues Thema starte, da in den vorhandenen Themen ja explizit gesagt wird, dass man die Lösungen dort nicht unbedingt auf alle Systeme übertragen kann.

Ich habe mir durchgelesen, was ich hierzu hier bereits gefunden habe, und würde mich über Hilfe sehr freuen.

Ich habe einen Win XP-Rechner mit einer internen und 2 externen Festplatten (auf denen alle meine Daten liegen). Avira hat, wohl nachdem ich unvorsichtigerweise ein oder zwei Programme runtergeladen hatte, folgende Fehlermeldung gebracht:

Im Masterbootsektor von Laufwerk 'J:' wurde ein Virus oder unerwünschtes Programm 'BOO/Whistler.DB' gefunden.
Diese Meldung kam für die anderen Platten auch.

Ich habe natürlich "Entfernen" geklickt - aber das funktionierte nicht.

Dann habe ich von Avira das Bootsektor Repair Kit runtergeladen - aber das funktionierte nicht. Die Meldung dort lautete ungefähr: Bootsektor nicht bekannt - wenn die genaue Meldung benötigt wird, muss ich das noch einmal ausführen und aufschreiben.

Malewarebytes habe ich dann runtergeladen und laufen lassen. Es hat einiges gefunden und wohl auch gelöscht -
Log vom Scan am 14.6.:
ein Quick Scan von gestern hat nichts mehr angezeigt
Ich hatte zwischendurch den ESET Online Scanner und den Onlinescanner von Bit Defender laufen, beide haben keine Meldungen gemacht.

Log von Avira von gestern Abend:
Dann habe ich dieses Board gefunden und versucht, Ihren Anweisungen soweit möglich zu folgen.
Ich habe Ihre Anweisungen "für alle Hilfesuchenden" soweit ausgeführt:

Defogger, OTL und GMer runtergeladen, vom Netz getrennt, ausgemacht, angemacht, (Avira Fehlermeldung kam wieder) Avira deaktiviert (was ging, Echtzeitscanner, Email- und Browserüberwachung)

Defogger gestartet -> keine Fehlermeldung
Rechner neu gestartet (das runterfahren dauert jetzt deutlich länger als vorher...)

OTL laufen lassen
OTL.txt:
Extras.txt:
Wieder ein Neustart und dann Gmer laufen lassen.

Hier hatte ich zwar angegeben, dass alle Platten gescannt werden sollen, aber aufgrund der verbrauchten Zeit und einiger kurzer Blicke auf den Fortschritt zwischendurch vermute ich, dass die externen Platten nicht gescannt worden sind.

OTL und GMER haben Fehlermeldungen "Kein Datenträger" gebracht. Ich vermute, wegen nicht eingelegter Wechselmedien.

Ich hoffe, es gibt eine Möglichkeit die Bootsektoren zu säubern, ohne die Daten zu verlieren - leider habe ich keine zusätzliche Kopie außerhalb des Systems.

Ich habe einen Kindle per USB angeschlossen gehabt, allerdings, bevor die Meldung vcon Avira kam. Kann der Virus dort auch vorhanden sein? Falls ja, besteht eine Möglichkeit, ihn dort zu entfernen? Habe das Gerät vorsichtshalber nicht wieder angeschlossen.

Vielen Dank im Voraus für Ihre Mühe!

Viele Grüße
Andrea

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo,
das ging ja schnell, Danke!

Soll ich Avira vorher ausschalten?

Viele Grüße
Andrea

Ich habe es mal angelassen.

Zwei Funde. Hier das Log.

Viele Grüße
Andrea

Fix mit TDSS-Killer



TDSS-Killer

Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehakt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo, guten Morgen Marius,

ich bin derzeit nicht zu Hause am PC. Sobald ich abends da bin, werde ich Deine Anweisungen ausführen.

Danke sehr.

Viele Grüße
Andrea

Hallo Marius,

ich bin wieder am Rechner. Habe deine Anweisungen befolgt.

Der TDSS-Killer gibt eine Warnung aus:

Can't cure MBR. Write standard boot code?

Soll ich das bejahen? Vorher von vorne anfangen (habe zwischendurch den Browser wieder gestartet).

Viele Grüße
Andrea

Ui, so kommt das nicht wieder hoch ..

Nochmal :)

Hallo Marius,

ich bin wieder am Rechner. Habe deine Anweisungen befolgt.

Der TDSS-Killer gibt eine Warnung aus:

Can't cure MBR. Write standard boot code?

Soll ich das bejahen? Vorher von vorne anfangen (habe zwischendurch den Browser wieder gestartet).

Viele Grüße
Andrea

Hallo Marius,

ich bin wieder am Rechner. Habe deine Anweisungen befolgt.

Der TDSS-Killer gibt eine Warnung aus:

Can't cure MBR. Write standard boot code?

Soll ich das bejahen? Vorher von vorne anfangen (habe zwischendurch den Browser wieder gestartet).

Viele Grüße
Andrea

Hallo Marius,

Ich habe das gestern abgebrochen, nachdem Du dann ja auch weg warst.

Werde mir erst mal heute Abend/Nacht noch ein Backup auf DVD fahren - ich schätze, das wird einige Stunden dauern..... Hoffe, du kannst mir dann mit dem "can't cure" weiterhelfen.

Viele Grüße
Andrea

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo und guten Abend Marius,
ich habe vorhin endlich mein Backup fertig bekommen.
Habe dazu einen neuen Brenner und zugehöriges Programm installiert, ich hoffe, dass stört nicht weiter.

Ich habe eben das ComboFix nach deinen Anweisungen laufen lassen, hier das log:

Viele Grüße
Andrea

Hallo und guten Morgen,

Avira findet jetzt auf der internen und der NTFS-formatierten externen Platte den Virus nicht mehr, aber noch auf der alten FAT32-formatierten externen Platte (K:\) und im MBS HD2 (wo ich nicht sagen kann, wo der sich nun befindet ....)

Auszug vom Avira-Report:
Viele Grüße
Andrea

p.s. - ich denke mal, Laufwerk K und HD2 gehören zusammen, aber das wirst Du ganz sicher besser wissen als ich :)

aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Marius,

ich habe das aswMBR laufen lassen (QuickScan, das war voreingestellt).

Anbei das log:

Wenn ich das richtig sehe, hat das nur die interne Platte gescannt, nicht die beiden externen, ist das richtig?

Viele Grüße
Andrea

Hallo Marius,

habe mich eben über die Waldbrände in Spanien informiert und nun ...

ohhh - nun habe ich neue Meldungen von Avira:

Das lässt sich aber von Avira offenbar nicht entfernen, kommt jedenfalls immer wieder.

Die Meldung sagt: Echtzeit Scanner erkannte 2 Viren oder unerwünschte Programme. Der Zugriff wurde verweigert.

außerdem noch ein Avira-Log:
Malewarebytes findet nun auch...
Arrgh - wo kommen die nur auf einmal alle her? :headbang:

VLG
Andrea

Guten Morgen Marius,
nachdem das vorgestern Nacht doch etwas durcheinander lief, habe ich den ganzen gestrigen Tag damit verbracht, zu versuchen, die "grundsätzlichen" Logs vom OTL und GMER zu machen....
hier dann mal mit System:

Habe den Rechner vom Netz getrennt.

- Avira bringt keine Fehlermeldung von selbst mehr ....
- Avira deaktiviert

- Defogger laufen lassen - keine Fehlermeldung

- nach Neustart und erneuter Deaktivierung von Avira OTL laufen lassen:
- die OTL-Text wurde erstellt, die Extra konnte ich nicht finden, bin nicht sicher, dass die erstellt wurde.
- Zwischendurch wieder die 4 Fehlermeldungen "Kein Datenträger" die ich auf die nicht eingesetzten Karten im Speicherkartenlesegerät zurück führe.

OTL.txt:
- nach Neustart habe ich GMER laufen lassen (und da das länger drauert war ich zwischendurch weg)
- als ich wieder zurück kam lief Checkdisk und prüfte Laufwerk D: (ohne Fehler)
- Avira findet beim Start wieder "nur" boo/whistler.db auf Laufwerk K and HD2
- Avira wieder deaktiviert und GMER noch mal gestartet ...
- heute Morgen war GMER scheinbar fertig, jedenfalls war in der Statuszeile nichts mehr vom Scannen zu sehen, aber das GMER Fenster war nicht zu bewegen. :wtf:
Habe dann auch "Speichern" geklickt, was auch ging, und den Dateinamen vergeben.
Danach sind diverse Fenster aufgegangen, mehrere mit Fehlermeldungen von Windows: Datenverlust beim Schreiben z.B. Datei /$Mft; SysEvent.evt; Winlogon.exe
Ein Fenster von GMER: ... has found Rootkit activity ... oder so ähnlich

Leider war das system soweit nicht ansprechbar, dass ich nach ca 30 Minuten die Kiste per Ausschalter ausmachen musste. Beim Neustart kam wieder Checkdisk, das D: prüfen wollte (habe ich unterbrochen).

Daher gibt es leider davon keinen Scan.

:heulen:


Mir ist aufgefallen, dass Avira ohne DSL - Verbindung nur den boo/whistler.db findet.
SOBALD das DSL anfgestöpselt ist, meldet es "2 Viren oder unerwünschte Programme", Zugriff wurde verweigert.

VLG
Andrea

So, ich mache den Rechner jetzt aus. Schaue nachher vom Büro aus rein was Du damit anfangen kannst...

Übrigens findet Avira die beiden Funt im Minutentakt oder schneller, also, jedenfalls immer wieder...

So ein ***
VLG
Andrea

Hallo,
hab doch noch mal Malewarebytes update und dann Quick-Scan laufen lassen...

Log:
VLG
Andrea

Soo, noch eben schnell TDSKiller scannen lassen:

VLG
Andrea

Na klasse, das Whistler-Rootkit hat einen aktuellen Bekannten eingeladen!

http://www.smiliemania.de/smilie.php?smile_ID=7908


aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

So was, Bekannte einladen, hier ist doch kein Ponyhof ....:kloppen:

Hallo Marius,
hier das Log von aswMBR von gerade eben. Habe dafür das Internet und Avira ausgestellt.

VLG
Andrea

Versuchen wir was!


Schritt 1: Fix mit TDSS-Killer


TDSS-Killer

Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehakt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.


Schritt 2: Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Marius,

also...

Vorweg - bei jedem Neustart vom PC kommt nach dem BIOS Fenster ganz kurz ein schwarzer Bildschirm mit weißer "DOS" Schrift, den ich in der Schnelle nicht lesen kann, dann startet Checkdisk und scannt Laufwerk D:.

Ich habe mit das Combofix von deinem Link noch mal heruntergeladen, dann den DSL-Stecker gezogen, Avira Scanner beendet und den TDSS-Killer gestartet.
TDSS Killer hat ein Suspicios Object gefunden: qhqguybssxign -> cure war im Auswahlfenster nicht vorhanden, also habe ich copy to quarantaine ausgewählt.
Außerdem wuerde Rootkit.Boot.Whistler.a gefunden -> cure
-> Meldung von TDSS-Killer nach Klick auf "Continue": Can't cure MBR. Write Standard code? Habe ich mit "No" beantwortet (was würde denn bestenfalls, bzw. schlimmstenfalls geschehen, wenn ich "yes" geklickt hätte?)
Klick aud Close.

Log:
Danach neugestartet und Avira (dachte ich) Scanner deaktiviert. Comboxi meldet dass Avira Echteitscanner noch aktiv ist. Ließ sich auch über dien Taskmanager nicht entfernen - also habe ich es deinstalliert (habe aktuell Malewarebytes laufen, installiere Avira aber gleich wieder, da der MWB Testzeitraum offenbar abgelaufen ist - sagt der dummerweise erst nach der Aktualisierung).

Combofix gestartet -> Fehlermeldung: NkMC2: Es wurde ein falsches Argument festgestellt
Autoscan Fenster läuft aber. War dann kurz weg, als ich wiederkam lief gerade Checkdisk. Nach Windows start hat Combofix die Logdatei geschrieben. Währenddessen wurd 3x "kein Datentäger" gemeldet (habe auf "weiter" geklickt.

Hier das Log:

Viele Grüße
Andrea

MBRCheck

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ach ja, interresannt:

Nach Neuinstalltion mach Avira einen Scan. Ergebnis:

Trotzdem kommen jetzt wieder Fundmeldungen:
Laufwerk K: Boo/Whistler.db
Masterbootsektor HD2: Boo/Whistler.db

:wtf: Muss man nicht verstehen ?!

Habe die Meldungen nur weggeklickt, da das bislang ja noch nie was gebracht hat auf "entfernen" zu klicken....

VLG und einen schönen Abend
Andrea

Ich habe dir eben geantwortet! ;)

Ok, MBR Check laufen lassen....
Ist noch offen, was soll ich tun?

VLG
Andrea

Hab länger zum schreiben gebraucht als Du :)
VLG
Andrea

J: und K: sind die Datenplatten. Wäre zwar schade drum aber ich habe da ja kürzlich ein Backup gemacht (war allerdings svhon infiiziert, weiß nicht, ob die Pferdchen auch auf den Discs sind).
LG
Andrea

ok, war wohl nicht schnell genug ;)

Habe "yes", "enter" "exit" gewählt.

VLG
Andrea

Fix mit MBR-Check


Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 2
• PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://larusso.trojaner-board.de/Images/mbrcheck.jpg

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Hallo Marius,

Habe getan was Du mich zu tun beauftragt hast.

1. Log:
Beim Neustart habe ich Checkdisk dann abgebrochen ....

Log nach Neustart:
... mit N beendet.

Für die größere Platte auch machen? Die Daten sind noch da :singsing: ^freufreu^

VLG
Andrea

Nein, gucken wir uns das nochmal an!


TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Guten Abend Marius,

ok, das ging schnell mit dem TDSS-Killer
"No threats found."

Der Report:

VLG
Andrea

Na, das ist doch schon besser!

Mit diesem Schädling hatte ich bis dahin noch keine Begegnung, aber den kriegen wir schon klein! :)


Schritt 1: Software deinstallieren

• Drücke die Windows- und die R-Taste gleichzeitig.
• Schreibe in die Textbox appwiz.cpl, klicke OK.
• Suche und deinstalliere folgende Einträge:
  
  Zitat:

  Ask Toolbar

• Schließe das Fenster.

Schritt 2: CF-Script



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Guten Abend Marius,

ja, ich finde, das sieht wirklich schon besser aus.

Habe nach deiner Anweisung verfahren.

Leider ließ sich Avria mal wieder nicht komplett ausschalten, darum habe ich es wieder deinstalliert und nachdem Combofix fertig war neu installiert. Ich habe die Ask Toolbar danach nicht wieder gefunden, also hoffe ich, ich habe sie dieses mal gar nicht erst installiert.

Es folgt das log von Combofix:
... und nun ? :)

VLG
Andrea

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen Marius,

ich habe Malwarebytes laufen lassen. Habe es zwischendurch einmal unterbrechen müssen, darum zwei logs davon.
Beim ersten mal hat es noch was gefunden und entfernt, beim zweiten mal dann nicht mehr.

Habe die Funde aus der Quaratäine gelöscht.

Starte gleich den ESET. Vielleicht ist der ja flott fertig ....

VLG
Andrea

Hallo,
hat leider doch noch etwas gedauert mit dem ESET. Aber der hat auch noch was gefunden:

VLG
Andrea

p.s.
... die sehen allerdings für mich alle älter aus....

Dieses Thema wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Diese Dateien sind keine direkte Malware, beinhalten aber Sicherheitsrisiken. Ich empfehle, die betreffenden Backups ungeöffnet zu löschen.


Gleiches hier - jedoch musst du diese Daten nicht löschen, das erledigen wir im Nachklapp.

Da mein letzter Überblick über dein System veraltet ist, erstelle mir bitte einen neuen:


Schritt 1: OTL


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Schritt 2: Gmer


Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!