Microsoft Security Essentials Alert
 

Hallo zusammen,

auch ich habe mir diesen Trojaner zugelegt und würde ihn gerne wieder los werden. Zu dem Zweck wollte ich auch die hier gegebene Hilfestellung nutzen. Allerdings habe ich das Problem, dass weder rkill.com noch iExplore.exe irgendeine Wirkung zeigen. Es erscheint zwar dieses schwarze DOS-Kästchen mit der Meldung "Terminating all known malware", aber die Fake-Virusmeldung von Microsoft Security Essentials ist immer noch da. Müsste die nicht dadurch eigentlich erstmal verschwinden oder habe ich da etwas falsch verstanden? Macht es unter diesen Umständen Sinn mit dem Malwarebytes-Scan weiterzumachen?

Ich danke schon mal für eure Hilfe

P.S. In der Hilfestellung steht ja "Bei Bedarf mehrmals ausführen". Daher habe ich beide Programme ca 50 mal gestartet, ohne Erfolg

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hey,

danke für die schnelle Antwort, aber irgendwie hab ich das Gefühl, dass es sowas wie eine Standardantwort ist. Was ist denn mit den Fragen, die ich gestellt habe?

Ja, das ist eine Standardantwort. Beantwortet das nicht Deine Frage mit Malwarebytes weiterzumachen?

Eigentlich nicht, denn bei einer Standardantwort hat man immer das Gefühl, dass das Geschriebene gar nicht richtig gelesen wurde, zumal auf die Besonderheiten, auf die man im Fall dieses Trojaners achten muss (Umbenennen von Malwarebytes, kein Internetzugang) gar nicht eingegangen wird. Woher soll ich da wissen, ob diese Antwort wirklich auch für mein Problem das richtige ist?

Meine Güte, die Anleitungen sind doch haarklein beschrieben. :balla:
Führ es erstmal aus und bei Problemen, falls welche auftreten, sieht man weiter!

Der Scan läuft schon längst. Trotzdem versteh ich nicht, wieso auf meine Fragen gar nicht eingegangen wird. Aber naja, über die Hilfe bin ich trotzdem dankbar.

Was genau willst Du da jetzt wissen?

rkill und der andere Kram muss nicht immer funktionieren! Es wird auch nicht wirklich behauptet, dass der Rechner nach 1 oder 2 Tools wieder so ist wie vorher? Warum hast Du da so einen Klärungsbedarf??

Schau mal bitte untern meinem Nickname. Ich weiß schon wovon ich schreibe. Nur kann ich hier nicht immer handverlesene Postings aus Zeitmangel schreiben, da sind standardisierte Antworten einfach besser.

Das ganze sieht jetzt nach einem Nebenkriegsschauplatz von Dir aus, willst Du Deinen Rechner bereinigt haben oder nur Vermutungen hören warum Detail xyz von Tool abc nicht wie erwartet funktioniert? Ich bin kein Hellseher.

Ich möchte keinen Nebenkriegsschauplatz eröffnen. Das Problem ist nur, dass man bei solch standarisierten Antworten zu Themen, von denen man selber keine Ahnung hat, nie weiß was man davon halten soll (auch wenn diese Befürchtung in deinem Fall nicht gerechtfertigt sein mag). Vor 2 Wochen erst hatte ich so einen Kontakt mit nem Kundendienst:

Frage: Ich kann ihren Online-Kundendienst nicht nutzen, weil ich kein Passwort geschickt bekommen habe. Was soll ich tun?
Antwort: Um den Kundendienst nutzen zu können müssen sie das Passwort eingeben, das wir ihnen geschickt haben.

Verstehst du was ich meine?

Diese Antwort hätte mir völlig gereicht.

Ich hoffe du verstehst, dass ich nicht sinnlos rummeckern wollte, sondern wirklich nicht wusste, was ich mit deiner Antwort anfangen sollte.

So, jetzt aber die Logfiles:

Du bist der eerste der meckert :D
Hast Du alle Funde mit Malwarebytes auch entfernt?

Jetzt ja:-D

Heisst das, du brauchst die ganzen Logfiles jetzt nochmal neu?

Ein neues OTL.txt wär nicht schlecht

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Während des ComboFix-Scans ist der PC abgestürzt und es kam eine von diesen Fehlermeldungen mit weißer Schrift auf blauem Hintergrund:

Es wurde ein Problem festgestellt. Windows wurde heruntergefahren. damit der Computer nicht beschädigt wird.

BAD_POOL_HEADER

...


Technische Information:

*** STOP: 0x00000019 (0x00000020, 0x81B523D0, 0x81B527E8, 0x1A830001)

Probiers bitte nochmal aus.

Ich hab es jetzt insgesamt 4 mal versucht, ohne Erfolg. Das Problem entsteht jedes Mal, während ComboFix das Logfile erstellen will, also kurz vor Schluss. Das Logfile ist aber danach auch nicht vorhanden.

Hast Du einen Ordner C:\Qoobox ?

D:\Qoobox, ja.

Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

So, das müsste geklappt haben

Da steht nur Müll drin :balla:

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

GMER ist jedes Mal schon nach einer Milisekunde abgestürzt.

OSAM:
der bootkit remover sagt folgendes:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

System volume is \\.\D:
\\.\D: -> \\.\PhysicalDrive0 at offset 0x00000000`007e0000
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
152 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Bitte deaktivieren und löschen, wie das geht steht in der OSAM Anleitung

(Success) HKLM\SYSTEM\CurrentControlSet\Services\qlveyv qlveyv D:\WINDOWS\System32\drivers\uduihpwh.sys


Ist das damit gemeint?

Das neue Log kommt gleich

edit:

Jup ist ok so :)

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Das waren aber mindestens 5 Sekunden;-)

Dann ist Dein Rechner zu langsam. Kauf nen neuen :uglyhammer:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Sieht ok aus, da wurden nur Cookies und Überreste gefunden. GGf. mal die die SWH deaktivieren (s.u.)
Noch Probleme oder weitere Funde in der Zwischenzeit?

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Vor den beiden Scans hat avira ziemlich genau einmal pro Stunde angeschlagen, während der Scans teilweise im Sekundentakt. Seit der SASW-Scan vorbei ist bleibt es aber ruhig.

Was genau hat Avira wo gefunden? Bitte solche Angaben nie vergessen!

Hier sind alle Ereignisse von Avira seit Beginn des Problems. Seit dem letzten Scan gab es aber keine Meldungen mehr.

Das sind Funde in der Systemwiederherstellung und im Quarantäneordner von OTL! Das ist völlig folgerichtig, dass AntiVir in C:\_OTL was findet, da wir doch Schädlinge mit OTL entfernt haben!!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Das hab ich ja bereits getan und seit dem gab es auch keine Funde mehr

Noch Probleme oder weitere Funde in der Zwischenzeit?

Ich denke nicht, nein.

Wir sind dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.