Bitdefender deaktiviert sich nach Trojanerfund-Meldung
 

Moin,

ich habe folgendes Problem. Bitdefender Total Security 2013 deaktiviert sich seit Kurzem. Nach jedem Neustart muss ich es manuell aktivieren. Es deaktiviert sich aber auch im laufenden Betrieb.

Das Ganze tritt ungefähr auf seit Bitderfender mir folgende Fund gemeldet hat: "Bitdefender hat ein infiziertes Element erkannt in c:/program files/pd/bin/tclpip85.dll. Virus Name: Trojan.Generic.KDZ.8601."

Wie gehe ich nun am besten vor?
Logs von GMER, OTL und Defogger habe ich angehängt.
Vielen Dank im Voraus für die Mühen!!

cheers,
steaf

Hi,
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hi Markus,

vielen Dank für die schnelle Beantwortung.

Logfile von TDSSKiller:

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi,

für den Scan mit Combofix habe ich versucht, alle Module von Bitdefender auszuschalten. Dennoch gab letzterer während des Scans ca. 300 Warnungen aus.
ComboFix lief dann auch durch, wurde dann aber kurz vorm Reboot unplanmäßig beendet.
Dazu gab's folgendes Log

bdlog:

starte neu,drücke f8 wähle abgesicherter modus, im betroffenen konto anmelden, cf noch mal ausführen, dann neustart und log posten

Hi,

Mit dem log von cf hats nun geklappt.
Allerdings komme ich mit den rechner nicht mehr ins netz!!!
Grad schreib ich vom handy.
Any clues?

Hi,

Mit dem log von cf hats nun geklappt.
Allerdings komme ich mit den rechner ins netz!!!
Grad schreib ich vom handy.
Any clues?

welche fehlermeldung gibts wenn du ins netz willst
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
versuch mal die reperatur

Ne Fehlermeldung gibt's überhaupt nicht. Chrome und Ff laden eben keine Seiten mehr. Wenn ichs im Win Netz- und freigabecenter checke gibt's aber noch traffic.

hattest du die reperatur versucht. kommt gar keine seite, oder seite nicht gefunden?

Reparatur hab ich noch nicht versucht.
Krieg immer die meldung "seite konnte nicht gefunden werden."
Grad bin ich aber nicht am rechner. Ich probiers morgen nochmal so wie im cf tutorial beschrieben und meld mich dann wieder.
Vielen dank einstweilen und gute n8.

Hi,

Das sieht alles gar nicht gut aus. Reparieren hat nix gebracht.
Zusätzlich kann man bitdefender nun nach dem neustart nicht mal megr einschalten

Hi,

Das sieht alles gar nicht gut aus. Reparieren hat nix gebracht. Zusätzlich kann man bitdefender nun nach dem neustart nicht mal mehr einschalten

Hi,

Das sieht alles gar nicht gut aus. Reparieren hat nix gebracht. Zusätzlich kann man bitdefender nun nach dem neustart nicht mal mehr einschalten

Hi,

Das sieht alles gar nicht gut aus. Reparieren hat nix gebracht. Zusätzlich kann man bitdefender nun nach dem neustart nicht mal mehr einschalten.

Hi,

sitz jetzt wieder an dem betroffenen Rechner. Mache derzeit einen Scan mit Knopicilin. Die Reparatur des WLAN-Adapters hat keine Besserung gebracht.
Es gibt nun zusätzlich folgendes Problem: Bitdefender lässt sich nun überhaupt nicht mehr aktivieren.
Ich poste mal das CF Log

WARUM hängt das Forum meine weiteren Beiträge denn immer an den letzten an und macht keinen neuen??

Außerdem kann ich keine alten Beiträge editieren!!

Versteh ich nicht

öffne mal internet explorer, extras einstellungen
verbindungen, einstellungen, prüfe ob ein proxy server gewählt ist, falls ja, lösche die Einträge und wähle keinen proxy verwenden, auf ok klicken.
dann noch mal internet explorer testen ob er läuft

Okay,
ein proxy ist nicht gesetzt. Mittlerweile laden die Browser auch wieder.

Allerdings verhält sich BD total komisch. Alles war verstellt bzw. die Konfig war auf "Benutzerdefiniert" eingestellt und da waren alle Einzeldienste ausgeschaltet.

[EDIT] Insbesondere lässt sich der Zugriffs-Schutz nicht wieder aktivieren. [/EDIT]
[EDIT] eben gerade gemerkt, dass sich die Einzeldienste immer gleich wieder deaktivieren. Hilfe. ich trenne den rechner jetzt mal besser vom netz. verfolge dies hier aber von anderer stelle weiter[/EDIT]

wir schaun mal weiter.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo again,

ich bin jetzt doch zunehmend verunsichert. Der letzte Stand war, dass BD sich auf dem Rechner mit dem Ausgangsproblem ständig ausschaltete bzw. irgendwie der ANtivirusschutz auf "benutzerdefiniert" gestellt wurde und dort sämtliche Optionen enthakt waren. Nach jeder Korrektur wiederholte sich das.

Mein weiteres Vorgehen war dann folgendes. Ich habe die HDD aus dem betroffenen Rechner aus- und in eine Icy-Box eingebaut und die mit meinem anderen REchner (auch BD) durchgescannt. Dies ergab keine Funde.

Wenig später fing mein anderer Rechner (ist erst ein paar Tage alt und läuft mit Win8) ebenfalls an. Nach jedem Neustart war der Autoscan von BD deaktiviert und ich musste händisch nachbessern. Auch hier scheinen sich Einstellungen von BD wie von Geisterhand zu ändern.

Was soll ich nun tun? Der neue REchner ist mir derzeit wichtiger. Wie kann ich mich adäquat um das Problem kümmern?

---------------------------------

Update: Ich habe nun den neuen Rechner mit Malewarebytes gescannt.
Hier jetzt das LOg dazu:

---------------------------------

Nun auch Scan mit OTL.
Logs hierzu:

Sorry: Wieder Doppelposting. Gelöscht.

Nun auch noch mit ESET gescannt:

Log:

Hi Markus,

wie siehts denn aus? Kannst Du schon ne Beurteilung abgeben?

ich weis nicht, jeder hier scheint zu denken, er währe der wichtigste und kann nicht mal einen Tag warten, leute, wir machen das hier in unserer Freizeit und haben eventuell auch mal was anderes zu tun....
schon mal bitdefender de und reinstaliert?

nee, kein stress. wollte nur mal nachfragen. ich mache mir halt etwas sorgen, dass mein neugekaufter rechner jetzt verseucht ist. bd hab ich noch nicht neuinstalliert; der ist ja auf dem neuen rechner auch erst seit 4 tagen.

Aufgrund meiner akuten Scanwut hier noch das Gmer-Log

-----------------------

Hi Markus,

ich hatte mich nach einigem Überlegen dazu entschlossen, meinen neuen Rechner neu aufzusetzten. Das habe ich mithilfe der Recoveryfunktion von Win8 (vollständiges Wieserherstellen, alle Daten löschen) gemacht.

Leider hat da wohl noch etwas im MBR überlebt. BD zeigt das gleiche komische Verhalten wie vorher. Ein Scan mit GMER hat auch etwas zutage gefördert.

Sorry, wenn ich irgendwie stressig rüberkommen sollte; Tatsache ist aber, dass ich wirklich gestresst bin. Lass Dich davon aber nicht irritieren. Ist ja wichtig, wenn hier jemand nen kühlen Kopf bewahrt.

Das GMER-Log ist irgenwie zu groß zum einbetten. Deshalb angehängt.

laden:
http://ad13.geekstogo.com/MBRCheck.exe
doppelklicken, laufen lassen und mbrcheck.txt vom desktop öffnen, inhalt posten
und ab jetzt, nur hier gepostete aktionen ausführen

Hi Markus,

mittlerweile habe ich Zweifel, ob hier überhaupt ein Befall vorliegt.
Ist ja auch ein reiner Indizienprozess. Die einzige Möglichkeit die ich sehe ist, dass sich durch das Scannen der ausgebauten HDD mit meinem neuen Rechner irgendwas auf der Recoverypartition eingenistet hat und sich dann im Zuge der Neuinstallation wieder drauf geschmuggelt hat.

Hier zumindest erstmal das MBRCheck-Log

der mbr ist ok
ist also warscheinlich ein bitdefender problem, entweder an deren suport wenden oder das programm wechseln.

Hey Markus,

vielen Dank für die Hilfe. Ich denke auch dass alles in Ordnung ist. Virenscanner hab ich gewechselt.

welchen, und läuft dieser?

Hi,

bei mir ist jetzt Emsisoft Anti-Malware drauf und läuft ohne Beanstandung.

da ist ja bitdefenders engine auch drinn.

emsisoft öffnen, einstellungen klicken.
geplanter scan.
wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen.
uhrzeit, und bei monatlich ebenfalls datum wählen.
unsichtbar, falls du das scan fenster nicht sehen möchtest.
und verpasste scans nachholen.
auto update:
intervall, täglich, stündlich von 00.00 bis 23.59
heißt jede stunde updates.
einstellung: update
am antimalware network teilnemen.
die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen.

rest bleibt.
klicke jetzt auf wächter:
dort auf wächter.
verhaltensanalyse aktivieren, alles selektieren.
jetzt auf alarme:
aktiviere dort comunety basierte alarm reduktion.
unter anderem dafür gibt es das antimalware network.
die comunety basierte alarm reduktion betrifft die verhaltensanalyse.
emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht.
da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert.
hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert.
wenn du dir das allein zutraust, musst du den haken nicht setzen.
wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt
jetzt auf datei wächter.
standard atkion für erkannte objekte, alarmieren.
surf schutz:
hier alles auf blockieren mit info.
wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln.
wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt.

das währe es, hoffe es war verständlich.

Hey,

danke für die Empfehlungen.
Kann es sein, dass das Wartungscenter von Windows insgesamt ein wenig schwer von BEgriff ist? Meldet mir nämlich auch hier, dass ich Emissoft AM aktivieren soll, obwohl dort alles auf "ein" steht. Wenn ich den Anweisungen des Wartungscenters folge ändert sich gar nichts.

sorry, war im urlaub und krank.
ja emsi und das wartungscenter haben manchmal probleme, du kannst die überwachung im wartungscenter für Antimalware software ja deaktivieren.