System Progressive Protection endgültig entfernen
 

Hallo und guten Abend (bzw. Morgen, wenn man penibel ist), ich habe mich neu in diesem Forum angemeldet und hoffe, dass ich die Bedingungen und Forenregeln bestmöglich erfülle.
Zunächst mal habe ich zwar gewisse erfahrung mit PCs und Software, bin allerdings weit davon entfernt, ein Profi zu sein, also entschuldige ich mich im Vorherein für etwaiige triviale Nachfragen.
Zum Thema:
ich habe mir diverse Videos auf diversen Seiten angesehen und wurde von einer (ich bin nichtmehr sicher welche) aufgefordert den Adobe Flash Player zu aktualisieren (ich hatte allerdings tatsächlich nicht die aktuellste Version, dabei habe ich es bisher auch erstmal belassen)
Ich habe auf den bereitgestellten button gedrückt und zunächstauf ausführen gedrückt. Die Datei (adobe-fp.v.sonstwas) lies sich nicht öffnen, ergo speicherte ich sie.
Nachdem ich sie als Administrator geöffnet hatte öffnete sich System Progressive Protection und verhielt sich wie in diesem Thread beschrieben "http://www.trojaner-board.de/124524-...tfernen.html". Die meisten Programme ließen sich (unter dem Vorwand sie wären infiziert) nicht öffnen. Als ich dann endlich via Internetexplorer dieses Forum fand, hielt ich mich an die Anleitung gegen Verschlüsselungstrojaner und deaktivierte mit Defogger die CD Emulator Drivers.
Seitdem kann ich alle Programme wieder ohne probleme Benutzen und auch Opera funktioniert wieder einwandfrei. Auch der gesamte PC läuft wieder so schnell wie zuvor, der status quo ist also quasi wiederhergestellt. Nichtsdestotrotz habe ich mit Malwarebytes Anti- Malware einen Quick Scan gestartet, der sieben bösartige Programme zu Tage förderte. Diese sind im Anhang (hoffentlich) sichtbar.
Für Ratschläge wie ich weiter verfahren soll wäre ich sehr dnakbar, mit freundlichen Grüßen, ich danke im Vorraus

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast. Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan mit DDS (+ attach)

Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com | dds.scr | dds.pif

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Vielen Dank für die schnelle Antwort und auch für die Belehrungen.
ICh werde tunlichst versuchen, mich daran zu halten. Trotz der Formatierungsoption möchte ich es mit deiner hilfe zunächst probieren.
Ich habe zunächst eine Frage und eine Mitteilung:
1. Was sind Logfiles und CODE-Tags?
2. Das Problem ist wieder da, Opera, Skype, diverse andere Programme, alle Windows Programme und auch Defogger und Malwarebyte lassen sich nicht mehr öffnen.
Desweitern öffnet sich auch dds nicht, obwohl ich es auf dem Desktop gespeichert habe.
Es heißt immer, wenn ich ein Programm öffne: Application cannot be executed. The file (Programmname) is infected. Please activate your antivirus software.

Gruß, Carolus

Zu den Code-Tags:

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

Starte bitte abgesichert und probiere ob es da klappt:

Zitat:

Lesestoff: Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter Modus Abgesicherter Modus mit Netzwerktreibern Abgesicherter Modus mit Eingabeaufforderung Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Danke für die prompte Antwort!
DDS Logfile:
DDS Logfile:
DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---


Wie du siehst hat dein Tipp funktioniert, ich habe im übrigen im Abgesicherten Modus NOCH keine spuren der Malware entdeckt.
Ich hoffe sehr, das hilft bei der Analyse.
Meinen Namen habe ich nicht geändert, den kann man ruhig lesen. Lohnt es sich für mich noch am PC zu bleiben? Ich kann mir vorstellen, dass du Zeit zum Auswerten benötigst und ich muss morgen relativ früh aufstehen, daher wäre (falls möglich) eine kurze Mitteilung freundlich. Danke im Vorraus, Carolus

Es ist ja kein so ein kompliziertes Ding :)

Abgesichert bleiben, dann

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Schreibe mir nur ob der Schritt geklappt hat, das anfallende Logfile brauchen wir nicht.

Schritt 2:
Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich melde mich dann am Dienstag mit weiteren Anweisungen, bis dahin NUR das beschriebene erledigen.

Hallo ryder,
ich habe heute den PC (ausversehen)
nicht abgesichert hochgefahren, von der malware war trotzdem (außer einer evtl vorhandenen geringfügigen Verlamsamung, die ich mir allerdings auch einbilden könnte) nichts zu merken, nachdem ich gestern mit Malwarebyte diverse Programme oder Pfade oder was nauch immer unter Quarantäne gestellt habe.
Wie auch immer, ich habe zunächst den vorgegebenen Schritt 1 erfüllt. Alles hat meineserachtens einwandfrei funktioniert. Zwar habe ich kein file zu Gesicht bekommen, wie es angekündigt war, was aber an meinem aktuellen Standardprogramm eSobi liegen mag, dass sich nach dem Neustart öffnete, obwohl es das sonst nie getan hat. Da wir dieses file aber nicht brauchen habe ich keine Zeit darauf verschwendet es in eSobis Wirren zu suchen, sondern habe deinen Punkt zwei umgsetzt.
Zunächst habe ich meine Windows Sicherheit und (nachdem ich meinen Netzschalter am Laptop auf Offline gestellt habe) die Windows Firewalls deaktiviert.
Nach dem Start von Combofix meinte dieses, McAfee sei noch aktiv, was ich nicht ändern konnte. Daher habe ich, als das Programm nach zig vergeblichen Versuchen, die diverse Neustarts einschlossen, immer noch seinen Dienst tat Combofix gestartet.
Zwar kam dabei nach knapp 24 min. ein File heraus, es ließ sich nach dem Neustart jedoch KEIN EINZIGER Ordner oderProgramm öffnen (mit der von dir vorhergesehenen Begründung), wodurch ich das file leider nicht abspeichern konnte, befor ich den PC herunterfuhr. Zwar funktioniert jetzt wieder alles einwandfrei, ein file kann ich aber zu meinem Leidwesen nicht Vorweisen.
Einstweilen warte ich auf Anweisungen, von eigenen Aktionen sehe ich vorerst ab.
Ich hoffe das bringt dich (und somit uns) irgendwie weiter, Grüße, carolus

Das Logfile befindet sich laut Anleitung hier: C:\Combofix.txt

Bitte suchen und hier posten.

Here we go
hoffe es hilft.

Frage: Hast du Razoss Toolbar absichtlich installiert?

Der name kommt mir nicht bekannt vor, ich glaube daher kaum, dass ich es absichtlich (oder wissentlich installiert habe).
Ich weiß ehrlich gesagt gar nicht, was das sin soll...
Wie auch immer, falls die Datei unnütz oder sogar schadhaft ist, kann ich mich sicher von ihr trennen, zumal ich sie offensichtlich weder kenne noch benutze. Sie könnte höchstens mit einem anderen Programm zusammen installiert worden sein, ohne dass ich es bemerkt habe, was an ihrer Überflüssigkeit aber nichts ändern würde.
Wie soll ich weiter verfahren?

Schau bitte ob du Razoss über Systemsteuerung > Programme und Funktionen deinstallieren kannst.

Nein tut mir leid, das programm Razoss oder etwas mit dem Wort Razoss im Namen wird unter der Programmübersicht zu deinstallieren nicht gezeigt, daher kann ich es auch nicht deinstallieren.
Weiteres Vorgehen?
Ich habe nun allerdings nach einer Systemsuche den Dateipfad zu Razoss und diveresn anderen Programmen gefunden:
Voon den anderen Dateien her zu schließen, könnte es sich um mit meinem fehlerhaften alten Opera verbundene Daten handeln.
Wie soll ich verfahren,, soll ich einen Screenshot mit dem Dateipfad anfertigen oder wie kann ich sie dir anders übermitteln?

Dann entfernen wir es :)

Schritt 1:
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

• Gehe in die Systemsteuerung und klicke auf Windows Defender.
• Klicke Extras > Optionen.
• Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
• Bestätige und schliesse alle offenen Fenster.

Schritt 2:
Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  File::
c:\windows\system32\config\systemprofile\AppData\Local\PackSetup.exe
c:\users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RazossUpdater.lnk
c:\users\Konstantin\AppData\Local\Razoss\Application\RazossUpdater.exe


Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Helper"=-


Folder::
c:\users\Konstantin\AppData\Local\Razoss

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Entschuldige, aber ich habe zwei Probleme: erstens, in der Systemsteuerungg gibt es keinen Reiter Extras oder vergleichbares.Wie soll ich verfahren? Außerdem: Wie deaktiviere ich McAfee temporär?
Danke im Vorraus, carolus

Entschuldige, die erste frage hat sich erledigt, habs gefunden.