Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig.
 

Hallo, ich habe mir gestern einen bösen Virus eingefangen. Die Festplatte wurde nicht mehr angezeigt und dieses Bild war auf dem Desktop sichtbar. http://www.ke-mafia.com/danger.JPG. Dauernd wurde ich aufgefordert irgendwelche kostenpflichtigen Spyware Programme runterzuladen. Den Spruch "Your Privacy is in Danger" gab ich dann bei google an, wo ich ein Programm namens Smitfraudfix fand, dass den gröbsten Teil des Virus entfernen konnte.

Jedoch kommen weiterhin dauernd Spyware-Popups und viele Internetseiten lassen sich überhaupt nicht aufrufen bzw. laden nur halb. Auch Spybot und Ad-Aware habe ich laufen lassen, die haben aber nur wenig gefunden. Mein BitDefender hat einen Virus namens Trojan.Vundo.DVS erkannt, der mehrere System 32 Dateien (bak1, bak2, ini2, tmp) infiziert hat. Wenn ich bei google suchen will, werde ich meistens zu bediddle.com weitergeleitet, was mir nicht weiterhilft.

Ich muss zugeben, dass ich am PC nicht die ultra-ahnung habe und jetzt alleine nicht mehr weiter weiß. Hab schon gelesen, dass man sogenannte Hijack-Logs posten soll, kann damit aber leider nix anfangen. Ich hoffe von Euch kann mir jemand weiterhelfen.

Mfg
Niki

Halli hallo.

Scanne deinen Rechner mit SuperAntiSpyware und Anti-Malware und poste die logs.

Vielen Dank für die schnelle Antwort.

Ich kann leider auf beide Dateien nicht zugreifen. Mein Firefox zeigt "Verbindung fehlgeschlagen" an.

Gruß Niki

Das ist natürlich etwas dämlich.

Dann weichen wir auf Combofix aus.

HIER gibt es das Programm.

Passwort ist infected !

Des ComboFix hat "Rootkit Activity" festgestellt und den PC neu gestartet. Mehr kam dann aber nicht.

Ich frag mich ob ich des Programm vollständig runterladen konnte, weil beim ersten mal waren es nur paar kb. Beim zweiten mal 2,66 MB. Ist es denn wirklich nur so groß oder hab ich vllt sonst irgendwas übersehen?

Gruß Niki

Lasse Blacklight laufen. Evtl. Funde bitte umbennen/beheben lassen.

Danach starte CF nochmal..

Ich befürchte ich bin ein hoffnungsloser Fall. Auch den Blackight kann ich nicht runterladen. :-(

Sowas wollen wir hier nicht hören!

Hier gibt's Blacklight für dich: fsbl
Passwort ist wieder infected

So, erstmal Vielen Dank für die nette Unterstützung bis hierhin. Ich weiß das wirklich zu schätzen.

Ich hab mir die Programme SuperAntiSpyware und AntiMaleware do noch organisieren können. (Ein Bekannter hat sie mir per E-Mail geschickt und ich konnte sie glücklicherweise abrufen.)

Hier ist erstmal das SuperAntiSpyware Log:

Das Anti-Maleware-Log folgt sofort wenn es fertif gescannt hat.

Und hier noch das Anti-Maleware Log:

Siehts all zu schlimm aus? :confused:

Weiter mit Blacklight und Combofix...

Hab ich erledigt. Soll ich auch dazu die Logs posten?

Gruß Niki

Ja aber immer! ;)

okay. :)

Blacklight:
ComboFix:

Ach du Schande. Und das wolltest du uns vorenthalten? Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Ich denke schon. Es kam zumindest keine Fehlermeldung und ich konnte auch sonst keine Anzeichen entdecken, das dies nicht der Fall sei.

Hier ist Log vom Navilog1:

Folge bitte dieser Anleitung und poste alle logs.

Und suche wie in meiner Signatur beschrieben wird nach: omieoaq
Lösche alle Funde.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Bei den RootKits hatte ich mehrere Probleme beim Runterladen der Dateien.

1. Ist beim AVG das AVG Antivirus das richtige, weil der Link bringt mich nicht direkt zu .exe Datei. Also ist Hier das linke das richtige?
2. Beim Bitdefender ist der Link zum Bitdefender Antirootkit-ß down.

Vielen Dank im voraus
Gruß Niki

AVG Anti-Rootkit

Bitdefender gibt es momentan scheinbar nicht mehr...

Rootkit Revealer:
Blacklight:
Sophos:

GMER (muss ich auf 2 Posts verteilen):

Also so ganz sauber ist der Rechner nicht. Ich würde dir raten ihn neuaufzsetzten...

:( Ich poste die weiteren Logs trotzdem ma, wenn ich sie jetzt schon angefertigt habe:

AVG: TrendMicro:Panda Anti-Rootkit:
Screenshot

Die AVG und Rootkit Revealer Funde machen mir Sorge...

Ist deine Eintscheidung: Weitermachen oder sicher neuaufsetzten?

Wenn du meinst Formatieren ist die bessere Lösung, dann mach ich das auch.

Ich hab 2 Partitionen, eine (C) fürs Windows und paar Programme und eine andere (D) für Filme, Musik, Spiele. Langt es dann wenn ich nur die C formatiere und des Windows neu aufsetzen oder muss ich beide Partitionen neu machen?

Gruß Niki

Weise Entscheidung! :daumenhoc

Bereinigung nach einer Kompromitierung

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Okay, dann möchte ich mich ausdrücklich für die herzliche und vor allem effektive Unterstützung bis hier hin bedanken.
Ich finde es echt toll, dass es so ein Forum gibt, wo einem so gut geholfen wird. Chapeau. :dankeschoen: