Polizei Virus Hallo, nach 18 Jahren in der Edv-Branche habe ich erstmalig ein Trojaner Problem. ich habe mir das Polizei Virus eingetreten. wie bekommt man das trotz Windows Defender und wie wird man das wieder los? den bisher gelesenen Artikeln zur Folge gibt es da keine Standard Lösung, oder? könnt Ihr mir bitte einige Tipps geben? Danke und schönes Wochenende! Eaterjoe |
Hallo und :hallo: Ich bin Christoph alias DerJazzer. Ich werde dich durch die Bereinigung begleiten und bin währenddessen dein Ansprechpartner für dieses Thema. Je nach Art der vorliegenden Infektion kann viel Arbeit und ein großer Zeiteinsatz auf dich (und auf mich) zukommen. Ein Neuaufsetzen ist damit meist als der schnellere, aber immer als der sicherere Weg zu betrachten. Für den Erfolg der Bereinigung gilt: Ich kann dir zu keinem Zeitpunkt garantieren, dass der PC nach der Bereinigung auch wirklich frei von Malware ist! Wenn du das akzeptierst, bitte ich dich, hier so lange mitzuarbeiten, bis ich dir sage, dass der PC aus meiner Sicht malwarefrei ist. Um die Bereinigung so effektiv und nervenschonend wie möglich zu gestalten, bitte ich dich, folgende Punkte ebenfalls zu beachten:
Um mir das Auswerten deiner Logs (Berichte der verwendeten Programme) zu erleichtern, bitte ich dich, diese zwischen Code-Tags zu posten. Dazu drückst du einfach den #-Button im Antwortfenster und fügst dort zwischen den eckigen Klammern dein Log ein. Das sieht dann so aus: [CODE] eingefügtes Log [/CODE] Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Welches Betriebssystem hast du? Kannst du noch in den Abgesicherten Modus starten? |
Hi, danke für deine rasche Rückmeldung und das du dir Zeit nimmst! abgesicherter Modus: ja Os: Windows 7 tagesaktuell gepachet LG eaterjoe |
ok, los gehts: Starte in den Abgesicherten Modus. Schritt 1 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Zur Info: ich habe meinen Usernamen "<Name>Admin" durch "UserAdmin" und "<Vorname>" durch "User" ersetzt. ich möchte nicht, dass mein echter Name hier im Forum aufscheint... sollte das ein Problem sein, kann ich Dir die Logs auch per PN zukommen lassen... lg eaterjoe FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-07-2013 --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 19-07-2013 |
Kein Problem, völlig legitim (musst bei Pfadangaben in meinen Fixes nur darauf achten, die Pfade entsprechend zurückzueditieren :)) Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKCU\...\Run: [ctfmon32.exe] - C:\PROGRA~3\rundll32.exe [44544 2013-07-20] (Microsoft Corporation) <===== ATTENTION Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 3 Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Schritt 4 Neues FRST-Log bitte. Bitte poste in deiner nächsten Antwort
|
Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-07-2013 Code: # AdwCleaner v2.306 - Logfile created 07/20/2013 at 15:03:11 Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-07-2013 --- --- --- |
Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\ProgramData\orolo.js Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Ok, dann kontrollieren wir nochmal: Schritt 1 Downloade Dir bitte Malwarebytes Anti-Malware
Schritt 2 ESET Online Scanner
Schritt 3 Downloade Dir bitte SecurityCheck und:
Schritt 4 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Bitte poste in deiner nächsten Antwort
|
Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-07-2013 Code: Malwarebytes Anti-Malware (Test) 1.75.0.1300 Code: ESETSmartInstaller@High as downloader log: Code: Results of screen317's Security Check version 0.99.70 FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-07-2013 |
Lass die Finger von Cracks & Keygens, sie sind zu 99,9% Schädlinge! Schritt 1 Bitte vorher wieder alle Festplatten etc. anstecken. Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\$Recycle.Bin\S-1-5-21-1923077133-656304762-555754502-1001\$RJHD1YU.rar Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe und drücke auf Start. Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Schritt 3 Downloade dir bitte Farbar Service Scanner
Poste bitte den Inhalt hier. |
Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-07-2013 Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-07-2013 Code: Getting user folders. Code: Farbar Service Scanner Version: 13-07-2013 |
Schritt 1 Downloade dir bitte Windows Repair (All In One) von hier.
Schritt 2 neues FSS-Log bitte |
beim Windows repair wurde gemeldet, dass im abgesicherten Modus nicht alles funktionieren würde, daraufhin bin ich nach dem filesystemcheck im normalen Modus gestartet. es wurde nur ein leerer schwarzer Bildschirm angezeigt. das war mir nicht ganz geheuer. daher habe ich den pc sofort ausgeschaltet und bin wieder im abgesicherten Modus gestartet. der von dir beigefügte screenshot ist schon etwas veraltet. ich habe dennoch nur das angewählt, dass du im screenshot angewählt hast... Code: Farbar Service Scanner Version: 13-07-2013 |
Warum startest du eigentlich die ganze Zeit im Abgesicherten Modus? Der Normale Modus sollte doch wieder gehen?!? Oder gibt es da noch Probleme? |
Nadja am Anfang stellst du die Frage, ob das ginge und ich habe impliziert, dass ich das machen soll. Schlecht? |
:stirn: Sorry wie ich gerade sehe habe ich nie geschrieben, dass du in den normalen Modus starten sollst, sorry... Also: Bitte in den normalen Modus starten, berichten ob es noch Probleme gibt (welche?) und nochmal FSS laufen lassen. |
also das gerät ist EXTREM langsam. das HDD-licht geht nicht aus. Edit: jetzt ist es gerade einmal ganz kurz schwarz geworden, aber es leuchtet wieder munter. lasse ausserdem mal das antimalwarebytes anti-malware drüberlaufen lassen, und finde gerade etwas. ich poste nochmal den log sobald das ding fertig ist... Code: Farbar Service Scanner Version: 13-07-2013 |
Na dann eben doch... Scan mit Combofix
|
habe jetzt "http://www.trojaner-board.de/58563-w...tivieren.html" versucht und auch den dienst "Windows sicherheitscenter" gestoppt. trotzdem motzte combofix.exe, dass das Windows security essentials noch immer läuft... Code: ComboFix 13-07-24.02 - User 24.07.2013 20:11:16.1.2 - x64 |
Kannst die Meldung ignorieren ;) |
habe übrigens gesehen, dass der FSS nur die beiden Programme im quarantine-ordner gefunden und nicht gemerkt hat, dass das ein Quarantäne-Ordner ist...:stirn: |
Da hast du dir was neues eingefangen... Combofix-Skript
Wie läuft der Rechner? |
naja, wie läuft der rechner? subjektives gefühl: nach dem starten etwas schneller. kann aber auch eher Wunschtraum sein... nach dem combofix wollte ich den IE starten, aber ich wurde informiert, dass irgend ein registrywert zur Löschung markiert sei. da hab ich nochmal gebooted und dann ging es. Code: ComboFix 13-07-25.02 - Armin 25.07.2013 19:33:54.2.2 - x64 |
Ok. Dann muss ich dich leider bitten diese Schritte nochmal abzuarbeiten: Schritt 1 Bitte nochmal ESET laufen lassen. Schritt 2 Bitte nochmal Securitycheck starten. Schritt 3 Und ein (hoffentlich) letztes Mal FRST. Bitte poste in deiner nächsten Antwort
|
Java-Update mache ich gerade... das Auto-Update hat sich (oder "wurde") deaktiviert... Code: ESETSmartInstaller@High as downloader log: Code: Results of screen317's Security Check version 0.99.70 FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-07-2013 01 --- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-07-2013 01 |
So, das sieht ja mal besser aus :) Wir räumen jetzt noch ein bisschen auf, sichern ab, und dann bist du auch "schon" mit ein paar Tipps meinerseits entlassen ;) Schritt 1 Bitte alle alten Java-Versionen (außer Java 7 Update 25) deinstallieren. Dann: Adobe-Reader-Update
Schritt 2 Die Reihenfolge ist hier entscheidend.
Schritt 3 Jetzt, da wir die Bereinigung erfolgreich abgeschlossen haben, möchte ich dir noch ein paar Programme und Verhaltensweisen mit auf den Weg geben, mit denen du eine Infektion in Zukunft vermeiden kannst. Updatestand von System und Programmen: Eine große Anzahl Schadprogramme nutzt Sicherheitslücken in deinem Windows und den installierten Programmen, um auf deinem System aktiv zu werden. Jetzt bist du als User gefragt. Malware kann nur bekannte Lücken ausnutzen, und Lücken, die bekannt werden, versuchen die Softwarehersteller schnellstmöglich durch Updates ihrer Programme zu schließen. Es ist also ungemein wichtig, dass du dein System und die darauf installierten Programme immer auf dem aktuellen Updatestand hälst.
Sicherheitsprogramme: Für ein sicheres System ist es essentiell, dass Antivirenprogramme das System überwachen, um auf Schädlinge frühzeitig aufmerksam zu machen. Die Effektivität des Sicherheitssystems kannst du erhöhen, indem du Programme, die im Gegensatz zu deinem Antivirenprogramm keinen Echtzeitscanner an Board haben, sondern sogenannte "On-Demand-Scanner" sind, in bestimmten Intervallen dein System überprüfen lässt. Kein Programm erkennt alle Infektionen, aber eine Kombination verschiedener Programme lässt die Wahrscheinlichkeit, dass eine Infektion unentdeckt bleibt, gegen Null tendieren.
Sicheres Surfen: Fast alle Infektionen sind durch Schadprogramme aus dem Internet verursacht. Dem kann man aber entgegenwirken, indem man das Surfen durch verschiedene Spezialprogramme entschärft.
Weitere Sicherheitshinweise:
Grundsätzliche Verhaltensregeln:
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen und eine virenfreie Zeit zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann. |
hi, bin gerade dabei, alle deine Empfehlungen umzusetzen. Mann, das ist echt ne Arbeit. hatte übrigens psi und vieles von dem anderen zeugs schon, aber wieder deinstalliert, weil mein pc in die Knie ging. bei sandboxie (kannte ich nicht) bekomme ich die folgende Fehlermeldungen. hab ich dann einfach Pech gehabt? Code: SBIE1151 Kann die Anweisung FED5753E: D9,89,54,24,40,4C,89,44,24,48,83,64 nicht verarbeiten |
Das Problem tritt auf, wenn du versuchst den Browser über Sandboxie zu starten, hab ich recht? Eine Lösung scheint es nicht zu geben (und ich habe davon auch zu wenig Ahnung um dir da weiterhelfen zu können...) EDIT: versuche mal das: Zitat:
|
Irgendeine Besserung? |
ich bekam nach dem nächsten Reboot wieder mal einen schwarzen Bildschirm mit Mauscursor nach der Anmeldung. und dann hab ich mal das Windows Update versucht und scheitere daran weil es einen Fehler gibt "Code 8020002e Unbekannter Fehler bei Windows Update". Es wird E x t r e m langsam heruntergeladen. also bei einem 448 KB grossem Fix warte ich jetzt schon Stunden und hab 53%. ich hab jetzt ne Frage diesbezüglich in der Windows Community gestellt. Keine Ahnung. |
so, Danke mal vorab. ich habe jetzt das Windows-Update Problem mal mit einem Workaround umgangen und alle Hotfixes manuell installiert. ich melde mich innerhalb der nächsten 2 Tage um zu beobachten, wie die Kiste läuft. |
so. also zu allererst: :dankeschoen: und dann: das Gerät ist jetzt ziemlich langsam, macht zwar updates und alles funktioniert. ich bekomme manchmal, wenn ich jemandem Mails schicken möchte diese Antwort: Code: "empfänger.adresse@liwest.at": Code: "empfänger.adresse@lavanguardia.es": Wie geht man in so einem Fall vor, wenn man die email-Adresse keinesfalls ändern möchte? Danke |
Du solltest deinen Mailprovider kontaktieren und das Problem schildern. |
habe das Windows-Update-Problem so behoben: answers.microsoft.com/de-de/windows/forum/windows_7-windows_update/code-8020002e-unbekannter-fehler-bei-windows/ee4c1ab2-e1ad-45e1-a9c4-49f6b685681e |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:59 Uhr. |
Copyright ©2000-2024, Trojaner-Board