System Progressive Protection
 

Hallo liebes Trojanerboard-Team,

ich habe folgendes Problem:

Am Montag, den 05.11.2012 hat sich der Trojaner "System Progressive Protection" auf meinem PC gespielt. Konnte danach gar nichts mehr machen, weil sich die bekannten Fehlermeldungen bemerkbar gemacht haben.

Habe an einem anderen Rechner Problem gegoogelt, habe die Lösung von Euch gewählt einen Registriercode einzugeben, damit ich irgendwie handeln konnte. Ein Neustart mit F8 hat nichts gebracht, weil sich Windows mit einem unüblichen Fenster runter gefahren hat und beim hochfahren, die Taste F8 auch nach vielen Versuchen nie in eine Auswahl "Abgesicherter Modus" etc. kam. Habe auch rkill + OTL benutzt.

Nach dem Hochfahren war das Programm auf meinem Desktop hat aber keine Meldungen mehr produziert, aber ich konnte bei Firefox das Problem nicht googeln, die Seiten waren "gesperrt" und dann hat sich ein weiteres Programm drauf gespielt, dass sah genauso aus wie das o.g. nur im grünen Layout und hatte im Namen ein Shield.

Ich habe Malwarebytes Anti-Malware heruntergeladen und gescannt, der hat folgendes gefunden:
Trojan.LameShield
Rogue.SystemProgressiveProtection.

Das Programm war "weg" nach dem von Maleware aufgeforderten Neustart des PC. Mein Virenprogramm hat dann einen TR/Trash.Gen gefunden und in Quarantäne geschoben.

Habe Java, Flash Player aktualisiert.

Habe Netzwerkkabel getrennt und ein paar Dinge auf meinem PC gelöscht (Dateien, Fotos, etc.).

Zwei Tage meinen PC wieder angeschaltet. Mein Virenprogramm Avira Free Antivirus meldet sich kurz nach dem Start mit folgenden Meldungen:
TR/Kazy.67671.34 gefunden und später nochmal die Meldung TR/Trash.Gen gefunden.

Habe Malwarebytes aktualisiert und nochmal über meinen PC laufen lassen. Hat nichts gefunden.

Nachdem mein PC verseucht war, bin ich mit dem natürlich nicht mehr über diesen Rechner auf Seiten gegangen für die ich Passwörter benötige.

Habe die Tage einiges bei Euch gelesen, werde immer verwirrter und verunsicherter und hoffe auf Hilfe, auch wenn es bedeutet, dass ich meinen PC neu aufsetzen muss. Habe jetzt auch gelesen, dass ich den CC Cleaner lieber löschen soll, habe ich allerdings noch nicht getan. Warte auf Eure Anweisungen - vielen Dank!

Viele Grüße von
Nefatiri

Schritt 1 - Defogger (wollte übrigens kein Neustart)

Schritt 2 - OTL (Hat bei mir nur eine Textdatei erstellt)

Schritt 3 - Gmer (habe 32bit System)

hi
poste alle avira fundmeldungen + malwarebytes logs mit funden.
http://www.trojaner-board.de/125889-...en-posten.html

Hi Markus,

hier die Meldungen:

Avira - Fundmeldungen

Typ: Datei
Quelle: C:\System Volume Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe
Status: Infiziert
Quarantäne-Objekt: 53bf1491.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.196
Virendefinitionsdatei: 7.11.49.72
Meldung: TR/Trash.Gen
Datum/Uhrzeit: 07.11.2012, 20:25

Typ: Datei
Quelle: C:\WINDOWS\system32\nvundt32.dll
Status: Infiziert
Quarantäne-Objekt: 527237ff.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.192
Virendefinitionsdatei: 7.11.48.254
Meldung: TR/Kazy.67671.34
Datum/Uhrzeit: 07.11.2012, 18:10

Typ: Datei
Quelle: C:\WINDOWS\system32\nvundt32.dll
Status: Infiziert
Quarantäne-Objekt: 4ae51084.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.192
Virendefinitionsdatei: 7.11.48.254
Meldung: TR/Kazy.67671.34
Datum/Uhrzeit: 07.11.2012, 18:10

Typ: Datei
Quelle: C:\WINDOWS\system32\nvundt32.dll
Status: Infiziert
Quarantäne-Objekt: 4acc5f84.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.192
Virendefinitionsdatei: 7.11.48.254
Meldung: TR/Kazy.67671.34
Datum/Uhrzeit: 07.11.2012, 18:10

Typ: Datei
Quelle: C:\System Volume Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe
Status: Infiziert
Quarantäne-Objekt: 54dfbaed.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.187
Virendefinitionsdatei: 7.11.48.206
Meldung: TR/Trash.Gen
Datum/Uhrzeit: 05.11.2012, 21:02

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\4c93932b-5ab728a7
Status: Infiziert
Quarantäne-Objekt: 4cd6d9ed.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.52
Virendefinitionsdatei: 7.11.28.88
Meldung: EXP/11-3544.EZ
Datum/Uhrzeit: 23.04.2012, 18:03

Typ: Datei
Quelle: C:\System Volume Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP309\A0144080.exe
Status: Infiziert
Quarantäne-Objekt: 4d52f43b.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.26.72
Meldung: TR/Offend.kdv.572789
Datum/Uhrzeit: 28.03.2012, 19:54

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft Corporation\{9D7DCAAA-A173-4B6C-895B-EC0194E95093}\UpgradeHelper.exe
Status: Infiziert
Quarantäne-Objekt: 07e820f7.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.26.28
Meldung: TR/Offend.kdv.572789
Datum/Uhrzeit: 27.03.2012, 19:27

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\660fbebc-748afc63
Status: Infiziert
Quarantäne-Objekt: 55ce7a55.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.26.28
Meldung: EXP/2011-3544.EB
Datum/Uhrzeit: 27.03.2012, 18:57

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Main.class
Status: Infiziert
Quarantäne-Objekt: 4d2255af.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.26.28
Meldung: EXP/2011-3544.BN.3
Datum/Uhrzeit: 27.03.2012, 18:57

Avira Ereignisse
Exportierte Ereignisse:

07.11.2012 20:25 [System Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53bf1491.qua'
verschoben!

07.11.2012 20:24 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 20:24 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 20:24 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 20:24 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163078.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:12 [System Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\nvundt32.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae51084.qua'
verschoben!

07.11.2012 18:12 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:11 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:11 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:11 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [System Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\nvundt32.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session
Manager\AppCertDlls\defrokup> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Eine Instanz der ARK Library läuft bereits.

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:10 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:09 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:09 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

07.11.2012 18:08 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\WINDOWS\system32\nvundt32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.67671.34' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.11.2012 21:02 [System Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54dfbaed.qua'
verschoben!

05.11.2012 20:48 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.11.2012 20:48 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.11.2012 20:48 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.11.2012 20:48 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{9C2B1328-E376-4DC6-86CF-D29A764EBD0F}\RP348\A0163058.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

----------------------

Maleware - Funde

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.05.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Besitzer :: ADMINIST-3C701E [Administrator]

05.11.2012 19:20:24
mbam-log-2012-11-05 (19-20-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 39319
Laufzeit: 5 Minute(n), 27 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BC09CE657643D9630000BC091263E0E0\BC09CE657643D9630000BC091263E0E0.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

---------
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.05.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Besitzer :: ADMINIST-3C701E [Administrator]

05.11.2012 19:26:28
mbam-log-2012-11-05 (19-26-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 310722
Laufzeit: 2 Stunde(n), 9 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\System Progressive Protection\System Progressive Protection Support Site.url (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\System Progressive Protection\Uninstall.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

-------
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.05.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Besitzer :: ADMINIST-3C701E [Administrator]

05.11.2012 21:49:11
mbam-log-2012-11-05 (21-49-11).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 201516
Laufzeit: 11 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\cdhxarkaa.exe (Trojan.LameShield) -> Löschen bei Neustart.

(Ende)

--------
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Besitzer :: ADMINIST-3C701E [Administrator]

07.11.2012 18:50:53
mbam-log-2012-11-07 (18-50-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 310142
Laufzeit: 2 Stunde(n), 27 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

aloa,
lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Muss ich bei unhide das Virenprogramm auch deaktivieren?
Wenn ja, dann muss ich aber zur Sicherheit Internet trennen (Stecker ziehen), oder?
Bei dem TDSSKiller auch zur Sicherheit beim Schließen aller Programme Internet trennen, oder?

Danke!

ja, kannst du sicherheitshalber tun, also alle programme deaktivieren, und inet kappen

Guten Morgen, Danke!

Ich hoffe ich habe das jetzt richtig gemacht, auch wenn die Anleitung verständlich war. Avira deaktiviert, dann unhide durchlaufen lassen. Habe nach unhide den PC nicht nochmal neu gesartet und dann das TDSS-Killer laufen lassen.

Hier das Log vom TDSS-Killer:

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Guten Abend Markus,

danke für Deine Antwort, hier der Logfile von Combofix:

Was hat mein PC den genau? Ist da noch was zu retten? Kann ich ihm je wieder vertrauen?

Liebe Grüße
Nefatiri

gibts noch probleme momentan? wenn ja welche?

lade den CCleaner standard:
CCleaner Download - CCleaner 3.24.1850
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Guten Abend Markus,

z.Zt. gibt es keine offensichtliche Probleme. Also für mich scheint alles reibungslos zu laufen, es gibt keine Meldungen, bei Google-Suchen scheine ich richtig weitergeleitet zu werden. Traue mich aber nach wie vor nicht, mich irgendwo einzuloggen, nachdem sich einfach so dieses "System Progressive Protection" eingenistet hatte.

Vielleicht noch als Hinweis zu der Auswertung über meine Programme im CCCleaner, ich kann mich nicht erinnern am 11.11.12 irgendwelche Programme installiert zu haben, geschweige denn Updates gestartet zu haben. Programme bei denen es Updates gibt, habe ich eigtl. so eingestellt, dass sie nie automatisch Updates ziehen sondern mich fragen bzw. soweit möglich, dass ich Updates manuell ziehe. So kann ich nach und nach alle Updates ausführen und nicht zeitgleich, i.d.R. prüfe ich Updates alle 10 Tage. Aus dem Grund, dass ich das Gefühl habe bei automatischen Updates dauert es ewig bis ich im Internet arbeiten kann, weil der PC rumrödelt. Die ganzen Windows Programme habe ich als unbekannt markiert, aber ich denke sie sind notwendig ...

Dankende Grüße
Nefatiri

Hier die Auswertung des CCCleaner über meine Programme und mein Kommentar:

Adobe Flash Player 11 Plugin Adobe Systems Incorporated 11.11.2012 11.5.502.110 notwendig
Adobe Reader X (10.1.4) - Deutsch Adobe Systems Incorporated 07.10.2012 122,00MB 10.1.4 notwendig
AFPL Ghostscript 8.54 11.11.2012 notwendig um pdf zu erstellen
AFPL Ghostscript Fonts 11.11.2012 notwendig um pdf zu erstellen
Alice-Installationsdateien entfernen 11.11.2012 notwendig (?fürs inet über alice?)
Amazon Kindle Amazon 11.11.2012 notwendig
Amazon MP3-Downloader 1.0.9 11.11.2012 notwendig
Apple Application Support Apple Inc. 14.11.2012 66,77MB 2.3 notwendig für quick player?
Apple Software Update Apple Inc. 14.11.2012 2,38MB 2.1.3.127 notwendig für quick player?
Artisteer 2 Extensoft 11.11.2012 2.5 notwendig
Avira Free Antivirus Avira 14.11.2012 12.0.0.1199 notwendig
CCleaner Piriform 06.11.2012 3.24 notwendig(?)
CDBurnerXP CDBurnerXP 03.03.2010 4.2.7.1893 notwendig
Das große DGS Wörterbuch 1.0.2.6 Verlag Karin Kestner 26.06.2012 notwendig
dm-Fotowelt 11.11.2012 notwendig
FreePDF XP (Remove only) 11.11.2012 notwendig um pdf zu erstellen
GIMP 2.6.9 The GIMP Team 05.07.2010 2.6.9 unnötig
High Definition Audio Driver Package - KB888111 Microsoft Corporation 20040219.000000 unbekannt
Java 7 Update 9 Oracle 07.11.2012 130,00MB 7.0.90 notwendig(?)
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation 05.11.2012 1.65.1.1000 notwendig (?)
Microsoft .NET Framework 1.1 14.06.2012 unbekannt
Microsoft .NET Framework 1.1 German Language Pack Microsoft 04.10.2008 3,02MB 1.1.4322 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 14.06.2012 183,00MB 2.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 12.05.2012 239,00MB 3.2.30729 unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 12.05.2012 unbekannt
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 28.05.2011 1 unbekannt
Microsoft Office 2000 Premium Microsoft Corporation 10.10.2008 52,46MB 9.00.2816 notwendig
Microsoft Office Enterprise 2007 Microsoft Corporation 11.10.2012 12.0.6612.1000 unbekannt
Microsoft Office File Validation Add-In Microsoft Corporation 15.09.2011 11,21MB 14.0.5130.5003 unbekannt
Microsoft Office Live Add-in 1.5 Microsoft Corporation 17.04.2012 0,49MB 2.0.4024.1 unbekannt
Microsoft Silverlight Microsoft Corporation 07.11.2012 285,00MB 5.1.10411.0 unbekannt
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 21.01.2009 1,74MB 3.1.0000 unbekannt
Microsoft Sync Framework Runtime Native v1.0 (x86) Microsoft Corporation 20.02.2009 2,87MB 1.0.1215.0 unbekannt
Microsoft Sync Framework Services Native v1.0 (x86) Microsoft Corporation 20.02.2009 1,45MB 1.0.1215.0 unbekannt
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 28.05.2011 unbekannt
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 29.07.2009 0,11MB 8.0.50727.4053 unbekannt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 17.06.2011 5,28MB 8.0.61001 unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 29.07.2009 0,15MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 21.06.2010 5,24MB 9.0.21022 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 24.10.2011 9,65MB 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 18.05.2009 10,28MB 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 14.06.2010 10,19MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 17.06.2011 10,20MB 9.0.30729.6161 unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 15.10.2011 14,97MB 10.0.40219 unbekannt
Mozilla Firefox 16.0.2 (x86 de) Mozilla 11.11.2012 16.0.2 notwendig
Mozilla Maintenance Service Mozilla 11.11.2012 16.0.2 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 07.01.2012 1,42MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 07.01.2012 2,77MB 4.20.9876.0 unbekannt
Namo WebEditor 6 Sejoong Namo Interactive, Inc. 11.11.2012 6.00.000 notwendig
NVIDIA Drivers 11.11.2012 unbekannt
NVIDIA ForceWare Network Access Manager Ihr Firmenname 04.10.2008 2.03.6548 unbekannt
QuickTime Apple Inc. 14.11.2012 73,17MB 7.73.80.64 notwendig
RealPlayer RealNetworks 11.11.2012 15.0.6 notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 04.10.2008 5.10.0.5433 notwendig
RedMon - Redirection Port Monitor 11.11.2012 unbekannt
SoliPrax 13 SoliPrax E.K. 11.11.2012 notwendig
t@x 2012 Buhl Data Service GmbH 28.05.2012 19.00.7303 unnötig
Ulead PhotoImpact 7 Ulead System 11.11.2012 notwendig
Walter de Gruyter - Pschyrembel 11.11.2012 notwendig
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation 04.10.2008 unbekannt
Windows Internet Explorer 7 Microsoft Corporation 04.10.2008 20070813.185237 unnötig
Windows Live Anmelde-Assistent Microsoft Corporation 20.02.2009 1,93MB 5.000.818.5 unbekannt
Windows Live Essentials Microsoft Corporation 20.02.2009 14.0.8064.0206 unbekannt
Windows Live Sync Microsoft Corporation 20.02.2009 2,80MB 14.0.8064.206 unbekannt
Windows Live-Uploadtool Microsoft Corporation 21.01.2009 0,22MB 14.0.8014.1029 unbekannt
Windows Media Format 11 runtime 11.11.2012 unbekannt
Windows Media Player 11 11.11.2012 unnötig
Windows XP Service Pack 3 Microsoft Corporation 04.10.2008 20080414.031514 unbekannt
WinRAR 11.11.2012 notwendig

hi
lass updates automatisch instalieren, so hättest du die infektion vermeiden können, zumal diese strategie sowieso nicht aufzugehen scheint, du hast einige programme mit sicherheitslückedrauf.
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Avira
Avira Free Antivirus 2013 | Kostenlos Virenschutz | Antivir
upgrade durchführen auf 2013

deinstaliere:
GIMP
t@x
Windows Live : alle von dir nicht verwendeten.

öffne otl, bereinigen, pc startet neu.
öffne ccleaner, analysieren starten, pc neustarten.
ich werde dir jetzt ne anleitung zum pc absichern posten, darin ist ein passwort manager enthalten, du kannst sicherheitshalber alle passwörter und passwort vergessen abfragen endern, der passwort manager hilft dir, passwörter zu erstellen, und zu verwalten (man kann sie auch ausdrucken)
jeder dienst sollte ein zweistelliges passwort erhalten, man kann da ruhig an die 20 stellen gehen.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
aus der passage xp:
- dienste konfigurieren.
- konfigurieren der automatischen updates.
- datenausführungsverhinderung für alle prozesse
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.74

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

Danke für Deine Unterstützung und die Tipps.

Die habe ich schon teilweise umgesetzt. Es ist ja einiges nachzulesen und zu tun. Danke für das Angebot "die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!" Darauf würde ich hier gerne zurück kommen!

Erledigt habe ich die Deinstallationen, Einstellungen Automatisches Update sowie die Konfigurationen bei Adobe, Java, ...

Noch zu erledigen: Maßnahmen für ALLE Windows-Versionen, etc.

Ich weiß Du bist der Profi, allerdings stehe ich den Passwortgeneratoren skeptisch gegenüber, bisher war meine "Merkmaschine" mein Gehirn oder Zettel und Stift. Bin ich nicht auch angreifbar, wenn ich durch einen Passwortgenerator meine Passwörter irgendwo auf der Festplatte hinterlegt sind?

Mit Emisoft-Virenschutz, Sandboxie, etc. überlege ich noch, da ich vielleicht einen Ubuntu/Linux-Rechner fürs Internet aufsetzten will.

Nehme erstmal Avast, welche Konfigurationshinweise muss ich da beachten?

Ich nutze jetzt auch Google-Chrome, gibt es da auch etwas in den Einstellungen zu beachten? Wenn ich z.B. gerade über meinen Namen angemeldet bin und surfe und mir wieder so etwas passiert, wie der System-Progressive-Trojaner, hat er dann gleich mein Google-Zugangsdaten?

Schönen Abend
Nefatiri

Hi,
du kannst ja ein master Passwort festlegen, dann kommt da niemand drann.
Es gibt natürlich immer die Möglichkeit, dass ein Trojaner die mit liest, aber das währe ja auch der Fall, wenn du sie ganz normal eingibts.

Deine Passwörter müssen Zweistellig sein, aus Buchstaben (groß/klein) Umlauten, Zahlen, und Sonderzeichen bestehen, und für jeden Dienst, ein anderes.
Wenn du dir die alle merken kannst, ist das ok, ich bin nur der Meinung, dass ich lieber ein Programm mit an die Hand gebe, welches hilft, sichere Passwörter zu erstellen, da die meisten Nutzer unsichere PW's nutzen (laut Statistiken)

Chrome:
adblock für chrome:
http://filepony.de/download-adblock_chrome/
damit sollte das leben werbefreier von statten gehen.
ghostery um tracking zu verhindern:
http://filepony.de/download-ghostery_chrome/
sicher surfen mit chrome:
Sicher surfen mit Google Chrome | Verbraucher sicher online



Avast:
die standard Konfig passt.
Sandboxie:
ist auch in der kostenlosen Version gut nutzbar.
Malware kann Infos auch aus dem Cache des Browsers auslesen, mit unserer Konfig erschweren wir aber eine Infektion.
Durch das schließen der Lücken, währe diese fake Software gar nicht aufs System gelangt