System Progressive Protection (Virus/Wurm)
 

Hallo zusammen :)
Gestern abend war ich auf einer Internetseite, weil ich ein bestimmtes Lied aus den 90ern gesucht habe :-D und plötzlich öffnete sich ein kleines Fenster, in dem trojan.irgendwas stand. Hab dann alles schnell geschlossen und plötzlich lief irgendein "Anti-Virusprogramm" durch und hat mir hunderte infizierte Dateien angezeigt. Weil ich dieses Programm nicht kannte& wusste, dass es nicht "echt" sein kann, hab ich wie eine Wahnsinnige alle möglichen Tasten gedrückt, um es zu stoppen, was jedoch nicht funktionierte. Auch den Task manager konnte ich nicht aufrufen. Ich hatte sogar sone Verknüpfung aufm Desktop, als hätte ich mir dieses "Ding" runtergeladen, was aber nicht der Fall ist. Mein Freund ist auch halb wahnsinnig geworden und hat mich die ganze zeit nur angebrüllt, weil einfach nichts mehr funktionierte. Systemwiederherstellung konnte man auch nicht machen, weil das Programm einfach nichts mehr zugelassen hat. In den
abgesicherten Modus kamen wir auch nicht, weil meine Tastatur erst dann reagiert, wenn der Pc bereits hochgefahren ist. F8 war also auch nichts.

Wir haben den Pc dann erstmal runter- & später wieder hochgefahren. Irgendwann gelang es meinem Freund dann die Systemwiederherstellung durchzuführen, er musste nur schnell genug klicken. Nach dem 1. Mal war sie jedoch "unvollständig". Beim nächsten Mal auch. Erst beim dritten mal hat es funktioniert und die "Verknüpfung" vom Desktop war daraufhin auch weg & der Virus quasi "verschwunden", jedenfalls macht er sich seitdem nicht mehr bemerkbar.

Mein Freund hat dann gleich Norton & Ashampoo runtergeladen :-D


Ashampoo läuft mittlerweile seit knapp 8 stunden & hat bisher über 150 infizierte Dateien gefunden, hier ein paar Auszüge, falls es jemandem hilft.

-Trojan-spy.win32.zbot!IK
-Exploit.Java.CVE-2012
-Java.Malware!IK
-Worm.win32.cridex!IK

usw. usw. usw. total oft irgendwas mit "Java", "trojan" & ganz oft !IK dahinter. Wie gesagt, kenne ich mich damit überhaupt nicht aus & weiß nicht was ich jetzt machen soll ;'( mein Freund sagt, dass der Virus durch "löschen" nicht einfach verschwunden ist & dass man alles neu draufmachen muss, um das Ding wieder loszuwerden, aber dann sind ja alle meine Bilder etc. weg ..
Ich hoffe, ihr könnt mir helfen :heilig:
Lg, Lara

Hallo und :hallo:

Auszüge helfen NICHT weiter! Bitte alle Logs vollständig posten


Hast du auch noch weitere Logs von Malwarebytes oder anderen Virenscannern? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke für deine Hilfe!

Nein, ich habe nur Ashampoo durchlaufen lassen, was insgesamt 8 stunden gedauert hat. Kann man den "Bericht" auch schicken? Und wenn ja, wie? Ich habe, wie gesagt, so gut wie keine ahnung davon :o

Es steht doch in meinem Beitrag wie du den Bericht zu posten hast :wtf:

Aber wie kann ich den Bericht überhaupt von Ashampoo hierhin kopieren? Wie ich den hier einzufügen habe, hab ich auch verstanden, aber ich weiß nicht, wie ich ihn überhaupt hierher bekomme. Hab mir die Anleitung schon durchgelesen, nur kann ich die Funde nicht kopieren, nur markieren & "endgültig entfernen". Wo finde ich diese Logs bei Ashampoo, damit ich sie posten kann?

Und woher genau soll ich das wissen? Ich kann leider nicht zu jedem der 3000 Virenscanner die existieren eine bebilderte Anleitung aus dem Ärmel schütteln
Hast du kein Handbuch zu deinem Virenscanner?
Vllt mal im Hauptmenü nachgesehen und Berichte/Ereignisse (sinngemäß)?

Ich habe schon überall geguckt, es funktioniert nur leider nicht. Kann es denn sein, dass das nicht klappt, weil ich die 40 tage-kostenlos Version installiert habe? Hab auch schon unter Programme>Ashampoo geguckt, dort finde ich auch nichts, möchte aber auch nicht alles anklicken, aus Angst, irgendwas zu löschen. Mein Freund hat auch gerade noch mal nachgesehen, aber auch nichts gefunden. Gibt es denn keine andere Möglichkeit?

Ja. Alle Funde notieren und hier posten. Komplett - mit kompletten Pfadangaben

Im ernst? 315 Funde? :stirn:
Ist ein Screenshot nicht auch möglich? :-D

Wenn der Screenshot nicht alles zeigt :pfeiff:

So, ich hoffe du kannst damit etwas anfangen.. Hab jetzt mal Screenshots vom Protokoll und welche von der "Quarantäne" gemacht, weil ich nicht wusste, welchen du brauchst..

Also nr.1-4 = Protokoll (die ersten 4 Bilder) & no.1-4= Quarantäne (die letzten 4)

Hoffentlich klappt es so.. wenn nicht, weiß ich auch nicht was ich noch machen soll :/

Oh je, wenn ich richtig sehe, ist das zu unvollständig, oder? :o
Weil die langen "Namen" mit ... abgekürzt sind.

Ok, so sind die Screenshot einigermaßen zu lesen

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.



1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Alles klar, hoffe das ist richtig so :)

1. aswMBR


2. TDSS-Killer

Diesen Eintrag bitte mit dem TDSS-Killer fixen. Aber bitte nur diesen Eintrag!

Um das zu tun musst du den TDSS-Killer neu starten und einen neuen Scan machen. Wenn du danach die Ergebnisse siehst, stellst du bitte diesen Eintrag auf CURE bzw. DELETE (je nachdem was dir angeboten wird, alle anderen bitte auf SKIP lassen! ) und klickst dann unten rechts auf continue

Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.

Oh je, Hilfe.
Ich hab deine Anweisungen befolgt und den PC anschließend neu gestartet. Jetzt seh ich aber nur noch mein Hintergrundbild, ohne icons, also ohne diese Desktopverknüpfungen (Firefox,Photoscape, Papierkorb etc.) Kaspersky ist wieder an gegangen und ein Fenster mit:
C:\WINDOWS\system32\cmd.exe hat sich geöffnet. Ich sehe also nur das Kaspersky-, & dieses Windows-system-Fenster.

Was soll ich jetzt tun? :o
"Start Scan"?

*ERGÄNZUNG:
In diesem Windowssystemfenster stand plötzlich "Zugriff verweigert", dann hat es sich geschlossen und ich habe meine Verknüpfungen wieder! Ich lasse jetzt also Kaspersky erneut laufen und schicke dir dann den Bericht, richtig?

*ERGÄNZUNG(2)
Abgesehen davon, dass der Pc plötzlich unglaublich lahm ist, hat alles geklappt :) Hier der Bericht:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Okay, alles klar :)

Es hat sich nun ein blaues Kästchen geöffnet & ich habe diese Wiederherstellungskonsole installiert. Nun steht dort 3x:
################## 100,0% & ansonsten passiert nichts. Dauert wahrscheinlich ein wenig.

Werden dabei denn irgendwelche Dateien von mir gelöscht?
Musik, Bilder, Textdokumente etc.

ps. ich benutze meinen Laptop, hab am PC nichts bewegt (Maus/Tastatur)

*ERGÄNZUNG:
Entschuldige, aber ist es auch normal, dass dort:

Lösche Ordner

C:\Dokumente und Einstellungen\Administrator\WINDOWS

steht & das ganze schon ca. 50 minuten läuft, obwohl es nur 10 sein sollten? ..
Ich bin gerade total verunsichert :o

Nun läuft es schon seit ner Stunde und seit etwa 25 minuten passiert rein gar nichts mehr. In dem blauen Kästchen steht:

Fertiggestellt Stufe_1
Fertiggestellt Stufe_2
.
.
.
Fertiggestellt Stufe_50

Lösche Dateien

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\RKGcEr9.exe
C:\Dokumente und Einstellungen\Administrator\Recent\Thumbs.db
C:\WINDOWS\IsUn0407.exe

Lösche Ordner

C:\Dokumente und Einstellungen\Administrator\WINDOWS
_

mehr nicht & es passiert auch nichts mehr..
Tut mir leid, dass ich so viel schreibe & frage, aber du meintest ja, ich soll bescheid sagen wenn etwas unklar ist & ich will nur wissen, ob das "normal" ist oder ob ich irgendwo einen Fehler gemacht habe..

Hat sich bei CF was getan?

Nein.. bisher nicht.

Meine Startleiste unten und die Verknüpfungen auf dem Desktop sind verschwunden, aber das ist schon vor ca. 50 minuten passiert. Ansonsten alles wie oben beschrieben.

*ERGÄNZUNG:
Hey, es tut sich was :)

"Bereite Logdatei vor.

Starte keine anderen Programme, bevor ComboFix fertig ist"

werd sie dir wohl gleich schicken können :)

Es hat funktioniert! :taenzer:

Was hat NortonIS da noch zu suchen?! Hast du das nicht deinstalliert?

Ehm nein, in der Anleitung stand, ich soll ohne Anweisung nichts deinstallieren und du hast nur gesagt, dass ich die Antivirenprogramme deaktivieren/abstellen soll & das habe ich auch getan.. soll ich ashampoo und norton runterschmeißen?

Nach jedem Neustart starten die Programme allerdings von allein wieder, hab sie aber immer direkt danach wieder deaktiviert..

Übrigens:
Ich habe gerade gesehen, dass man dort 2 Sachen deaktivieren muss.
1. Antivirus-Auto-protect
2. Intelligente Firewall

soll ich Norton einfach komplett deinstallieren oder beides deaktivieren?
Tut mir leid :o

Warum installierst du überhaupt Ashampoo - als Testversion?! Wenn dann bitte immer nur einen Virenscanner dieser Art!

Mach am besten beides runter. Oder willst Norton unbedingt behalten? Irgendwann läuft da das Abo ja auch aus. Und dein Ahsampoo ist eh nur ne Testversion :mad:

Ja, mein Freund hat beides nur runtergeladen, um zu gucken, ob nach der Systemwiederherstellung noch irgendwelche Viren vorhanden sind und um sie ggf. in Quarantäne zu verschieben oder zu löschen. Wir dachten leichter Schutz ist besser als gar keiner :-D ist mein pc denn schon wieder sauber?


*Mein Freund sagt, er hat noch Norton 2005 zuhause (Vollversion). Die kann ich nach Ablauf der Testversion doch benutzen, oder?

Eben deswegen, weil du kein (weiteres) Geld für (einen) Virenscanner willst solltest du ja NIS und Ashampoo deinstallieren...dann nimmt man stattdessen etwas kostenloses wie MSE oder Avast und zusätzlich maximal noch Malwarebytes (als Freeware-"Modus")

Deinstalliere beides, wenn wir durch sind wechselst du zu Avast oder MSE

Okay, alles klar chef :-)
also keine Norton 2005/2006-vollversion ?

Hab nun beide deinstalliert & den Pc anschließend neu gestartet, um die Deinstallation abzuschließen.

Beim starten hat sich ein hellblaues Feld geöffnet, in dem
"Bitte warten. . . . . . . . . . . . . . . . . ." stand. Ist aber alles normal hochgefahren, hat mich nur gewundert :-)

Was nun?

Was bitte soll so eine angestaubte Version für einen Nutzen haben? :balla:

Eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Ich dachte, die alte Norton version kriegt trotzdem die gleichen updates wie die neueren.. ist das nicht so?

Okay, ich mach mich dann mal an den nächsten Schritt :)

"OTL.Txt"

"Extras.Txt"

Entschuldigung, ich will wirklich nicht nerven, aber ich hab jetzt schon seit 2 Tagen überhaupt keinen Schutz mehr drauf, weil ich beides deinstallieren sollte..

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)