Folgen nach Löschung von AV Security - Keine Themenerstellung auf trojaner board möglich
 

Hallo liebe Helfer,

ich wurde vor wenigen Tagen von AV Security befallen. Ich habe das Programm nach der beschriebenen Vorgehensweise hier im Board versucht zu löschen. Was auch geklappt hat. Nun gibt es einige weitere Probleme (Fenster öffnen sich automatisch im Firefox, google verlinkt auf schädliche Seiten).

Das schlimmste ist, dass ich nicht von dem betroffenen Rechner hier im Forum ein Thema über AV Sercurity erstellen kann. :koch: Wenn ich nur test schreibe geht es; sobald ich jedoch mein detailiertes Anliegen über AV Security posten möchte, geht gar nichts mehr. Bei Firefox wird die "Verbindung unterbrochen", google chrom meldet "Fehler 101 (net ERR_CONNECTION_RESET): Unbekannter Fehler und über den Internetexplorer komme ich überhaupt nicht mehr ins Netz, da eine Seite geladen wird und AntiVir erkennt sofort Viren.

Nun ist die Frage inwieweit es Sinn macht über einen anderen Rechner das Problem zu behandeln, da ich ja einige Dateien zur Bearbeitung auch auf diesem Rechner transferieren müsste (Logfiles etc.). Möchte nicht auch noch diesen Rechner infizieren.

Freue mich über Hilfe!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Gehe mit dem infizierten Rechner in diesen Thread

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Vielen Dank für Deine Hilfe!

Ich habe nun alle Schritte abgearbeitet. Malewarebytes hat keine Probleme festgestellt. Bei Schritt 4 ist beim Ausführen des Scannvorgangs von Gmer.exe ein Fehler aufgetreten und der Rechner wurde neu gestartet. Auch ein 2. Versuch brachte keine Besserung. AntiVir war wie beschrieben deaktiviert.

Hier die Dokumente 1. Zitat OTL.Txt 2. Zitat scan.txt (statt einer Extra.txt Datei wurde eine Scan.txt Datei erstellt) 3. Zitat Malewarebytes Logdatei:

OTL Logfile:
--- --- ---

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte poste in Deiner nächsten Antwort
ComboFix.txt

Anbei der Text :kaffee::

Combofix Logfile:
--- --- ---

Zu meiner Schande muss ich gestehen, dass ich eine Word-Datei auf dem Desktop löschen musste, weil er fast voll ist. Sorry

Wer ist fast voll ?


Schritt 1

Nutzt du Symantec noch. Wenn nein,

verwende das Norton Removal Tool


Schritt 2

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
Combofix.txt
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

So Daniel,

hier die Dateien:

Combofix Logfile:
Combofix Logfile:
--- --- ---

--- --- ---
Combofix Logfile:
--- --- ---


OTL EXTRAS Logfile:
--- --- ---
Jetzt konnte ich auch die Dateien von dem betroffenen Rechner hier hochladen!

Der neue Internetexplorer funktioniert zunächst auch ohne Fehler und Virenmeldungen!
An dieser Stelle schon mal ganz herzlichen Dank für Deine Hilfe!

Ich hoffe das System bleibt stabil und ich kann meine Daten bald wieder sichern.

Muss ich noch weitere Schritte vornehmen?

Mir fehlt noch die OTL.txt

Ups, da ist der Text: OTL Logfile:
--- --- ---

Schritt 1

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Setze einen Hacken bei http://img25.imageshack.us/img25/6167/unbenanntgtd.jpg und drücke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Berichte wie der Rechner läuft

Habe nun die Anweisungen abgearbeitet. Insgesamt wurden keine Fehler gefunden. Leider ist im Ordner :\Programme\Eset\EsetOnlineScanner\ kein log.txt zu finden.

Nur folgende Dateien:

OnlineScanner.ocx
OnlineScannerApp.exe
OnlineScannerUninstall.exe

Zudem hat vor dem Scannen AntiVir (beim Scannen war AntiVir aus) folgenden Fund festegestellt:

In der Datei 'C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP279\A0043274.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Der Fund belastet uns mal nicht. Noch Probleme ?

Bisher sind keine Probleme erkennbar.

Also soll ich nun auch C:\Programme\Eset in den Papierkorb verschieben und Leeren?

Ein Problem ist nun wieder aufgetreten. Ich hatte in einer Firefoxsitzung 2 Tabs offen. Nun wurden automatisch 2 Sitzungen gestartet mit jedem Tab einzeln.