Live Security Premium - Absturz im abgesicherten Modus
 

Hallo,

auf dem Notebook meiner Freundin hat sich der Live Security Premium eingenistet. Ich wollte wie hier beschrieben mit Defogger, OLT und Gmer vorgehen, doch beim Scan mit OLT ging der Rechner einfach aus. Das passierte auch beim zweiten Durchlauf mit OLT. Hab den Rechner beide Male im abgesicherten Modus mit Netzwerktreibern gestartet.

Wenn ich den Rechner jetzt im abgesicherten Modus (mit und ohne Netzwerktreiber) starte, geht er nach ein paar Sekunden automatisch aus, nachdem der Desktop auf dem Bildschirm erschienen ist.

Was muss/kann ich tun, um Live Security Premium wieder loszuwerden?

Hi,

lässt sich MAM installieren?
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Rkill und dann OTL...
Lade Dir RKILL auf den Desktop (http://download.bleepingcomputer.com/grinler/rkill.exe (exe) oder http://download.bleepingcomputer.com/grinler/rkill.scr (scr))

• Starte durch Doppelklick das Programm, WIN7/Vista-User als Admin ausführen (Rechtsklick und Admin)

• Es öffnet sich ein Consolenfenster, nicht unternehmen

• Nach erfolgreichem Lauf öffnet sich ein Fenster mit einem Log, das abkopieren und hier posten

• Achtung: Falls sich von Scare/Fake-Ware ein Fenster öffnet und die Ausführung verhindern will, das Fenster stehen lassen und RKILL nochmal starten

Dann OLT starten bzw. MAM...

Wenn das nicht funzt:
System mit OTL-PE scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

• Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.

• Lege eine leere CD in Deinen Brenner.

• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.

• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".

• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.

• Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.

• Mache einen Doppelklick auf das OTLPE Icon.

• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.

• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

• OTLpe sollte nun starten.

http://image.hijackthis.de/upload/hjt1-034.jpg

• Drücke Run Scan, um den Scan zu starten.

• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.

• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.

• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

chris

Also, ich hab vor deinem Posting das System mit Windows Defender Offline von CD aus gescannt. Der Suchlauf ergab folgende Funde:
Trojan: Win32/Sirefef.P
Rogue: Win32/Winwebsec
Beide Funde wurden vom Defender gelöscht.

Danach habe ich MAM scannen lassen. Während des Scans hat AntiVir den Fund "BDS\ZAccess.V" gemeldet. Ich habe den Scan pausiert, den Fund in Quarantäne verschoben und dort dann gelöscht. Anschließend habe ich den MAM-Scan fortgesetzt. Das Log File sieht so aus:

Im Anschluss an MAM habe ich RKill über den Rechner laufen lassen. Hier das Log File:

Danach hat OLT das System gescant. Das am Ende des Scans angezeigte Log File habe ich Extra.txt genannt, da es unter OLT.txt nicht gespeichert werden konnte. Eine Datei diesen Namens befand sich bereits auf dem Desktop. OLT verlangte einen Neustart des Rechners, was ich gemacht habe. Danach war das Programm sowie die OLT.txt verschwunden, so dass ich hier nur die Extra.txt posten kann:

OTL Logfile:
--- --- ---


Was muss ich als nächstes machen? Bin ich den Virus los?

Hi,

Reste des Rootkits sind noch da:
Das scheint der neue Renner zu werden, zAccess mit Live-Security...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Achtung: die *** durch den richtigen Pfad ersetzten, sonst läuft das Script nicht richtig!

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:
http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg
Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

Da der Killer in letzter Zeit sehr oft die services.exe übersehen hat (möglicherweise infiziert):

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

Nach dem Start des OTL-Fix kam die Meldung, dass MAM unerwartet beendet wurde und ich mir das Log File dazu ansehen soll. Die Meldung konnte ich mit "Ok" aber nicht wegklicken, es gab keine Reaktion. Schließlich reagierte auch OTL nicht mehr, so dass ich den Rechner mit langen Druck auf die Power-Taste abgeschaltet habe.

Bei einem zweiten Versuch mit OTL fror das Programm wieder ein und ich musste den Rechner auf die gleiche Weise wie beim ersten Mal abschalten. Ein Log File hat OTL leider nicht angelegt. Klingt alles nicht sehr gut...

So, hab nun nochmal einen Scan mit OLT gemacht. Hier die Logs:

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Hi,

sind noch da, versuche OTL im abgesicherten Modsu (F8 beim Booten), falls dann noch ein Antivirenprogramm läuft, händisch beenden.. funktioniert das nicht, Combofix laufen lassen (den muss ich dann ggf. noch scripten)...

chris

Hab's mit OTL im abgesicherten Modus probiert, aber leider vergessen, die Platzhalter zu entfernen. OTL lief aber trotzdem durch. Hier das Log:

Danach habe ich den TDSSKiller laufen lassen. Das Log dazu:

Anschließend habe ich auch Combofix gestartet, doch das Programm hat sich aufgehangen. Als ich das hier posten wollte, fiel mir im Log File von OTL auf, dass die Platzhalter noch eingefügt waren. Also wollte ich OTL nochmal drüber laufen lassen im abgesicherten Modus. Dabei ging der Rechner aber einfach wieder aus. Seitdem geht er ständig aus, wenn ich ihn im absgesicherten Modus wieder hochfahren will. Im normalen Modus ist alles okay. Woran liegt das? Das war auch gestern ein paar Mal der Fall, aber nach einiger Zeit endete das automatische Ausschalten dann wieder.

Falls OTL nicht im abgesicherten Modus funktioniert, soll ich dann Combofix auch im abgesicherten Modus ausführen?

Ich hab noch einmal mit OTL im abgesicherten Modus gescannt, aber nur mit den folgenden Pfaden (diesmal auch ohne die Platzhalter):

Das hat funktioniert. Hier der Log:

Danach habe ich zur Sicherheit OTL nochmal mit allen vier Pfaden durchlaufen lassen:

Auch das lief einwandfrei. Danach nochmal den TDSSKiller:

Und zum Schluss wollte ich mit Combofix scannen. Im normalen Modus ist Combofix aber wieder eingefroren und im abgesicherten Modus ging der Rechner wieder von alleine aus.

Hi,

erstelle und poste ein neues OTL-Log, mal sehen ob noch was da ist...

chris

Hab inzwischen einen MAM-Scan gemacht:

Werde aber gleich auch nochmal OTL scannen lassen.

Und hier der Quickscan von OTL:

OTL Logfile:
--- --- ---

Keine Ahnung, warum meine neuen Posts alle in einem Posting auftauchen. Hab da wohl einen Button falsch gedrückt...

Hier ist das OTL-Log:

OTL Logfile:
--- --- ---


Ich hoffe, dass ich den Plagegeist endlich losgeworden bin...

Hi,

das sieht eigentlich gut aus, wir müssen noch etwas aufräumen...
Combofix deinstallieren:
Klicke auf Start (Windows 7 Start Button) und tippe dann in das Suchfeld combofix /uninstall, wie im Piktogram unter diesem Text mit dem blauen Pfeil. Bitte sicherstellen, dass ein Leerzeichen zwischen Combofix und /uninstall ist.
Combofix deinstallieren http://www.bleepstatic.com/combofix/en/run-box.jpg

OLT, den Killer und das Verzeichnis C:\_OTL kannst Du löschen...

chris

Hab alles ausgeführt.

Es gibt nur noch ein Problem: Die Windows-Firewall läst sich nicht aktivieren. Wenn ich auf das Symbol in der Taskleiste klicke und dann im Sicherheitscenter die Firewall aktivieren will, kommt die Meldung, dass das Sicherheitscenter die Firewall nicht aktivieren konnte und ich es manuell über die Systemsteuerung versuchen soll.

Wähle ich dann in der Systemsteuerung "Windows Firewall" aus, kommt die Meldung "Aufgrund eines unbekannten Problems können die Einstellungen des Windows Firewalls nicht angezeigt werden". Hängt das noch mit dem besch.... Virus zusammen?

Hi,

ja, die "zerschießen bzw. löschen" die Firewalleinstellung samt Dienst!

Probiere das hier mal aus (sollte auch mit SP3 klappen):
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]:
Tipparchiv - Windows XP SP2 Firewall Dienstprobleme - WinTotal.de
bzw. Windows-Firewall in Windows XP SP 2 kann nicht gestartet werden

chris

Hat geholfen!! Tausendmal danke!!! :Boogie: