|
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. Hallo! Ich schreibe hier, da ich beim aktuellen Fall nicht weiter weiß. Hier steht ein Notebook eines Bekannten, welches mit dem "Antivirus" Virus verseucht ist. Vorgegangen bin ich nach der Anleitung im Board http://www.trojaner-board.de/82597-s...entfernen.html 1. rkill beendete die Prozesse 2. Komplettscan Malwarebytes. Hier brauchte es einen Neustart zum Endgültigen Entfernen. Ergebnis war, dass einige Symbole weg waren, aber grundsätzlich wie vorher. 3. Hosts Expert kein Zugriff, da Hosts gesperrt. 4. Hab das gute bewährte (bei mir) Spybot Search and Destroy installiert. Hier wurde gefunden und gelöscht - Fraud.Antivirus - Win32.FraudLoad.pc - Win32.FraudLoad.ss Gefunden aber nicht gelöscht konnte - Fraud.WindowsProtectionSuite - Microsoft.Windows.RedirectedHosts Eine Immunisierung funktionierte vorher wie nachher nicht. Avira Antivir war installiert aber tauchte nicht als Aktiv auf. Danach kam noch der CC Cleaner und danach RSIT. Auch im Anschluss weiter Hosts gesperrt. Achso ein Erneuter Komplettscan mit Malwarebytes brachte keine Vorkomnisse mehr. Wie soll ich nun in diesem Fall weiter vorgehen? Hab den Rechner jetzt immer noch in diesem Status laufen lassen. Bisher keine Meldung von dem Virus, allerdings sitzt er ja noch im System und würde nach einem Neustart wieder kommen. Ich bitte um schnelle Hilfe, denn ich möchte das Notebook baldigst wieder geheilt zurückbringem und mehrere Tage Dauer-An ist auch nicht soo pralle. Vielen Dank im Voraus an Alle! Anbei das rsit log. |
wo ist das malwarebytes log mit den funden? spybot wieder deinstalieren, das taugt meist sowieso nicht viel. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Hallo und danke für die erste Hilfe! Der Log von Malwarebytes sollte noch dem ersten Durchlauf entsprechen. Hab soeben OTL mit den geforderten Einstellungen und Benutzerdefinierten Begriffen laufen lassen. Es öffnete sich aber lediglich die OTL.txt. Eine Status.txt ist weder offen noch minimiert da. Hab ich etwas falsch eingestellt? Anbei die Logs. Das Malwarebytes-log ist geteilt aufgrund der Dateigröße Grüße |
hi, otl reicht erst mal. deinstaliere spybot, es stört die reinigung, ich persönlich würds auch nicht mehr instalieren. ist nicht sonderlich nützlich. • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Kpowiliyojoqo] C:\WINDOWS\mdrchap.DLL () O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Smart Security] File not found [2010.10.04 17:17:50 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Truzagabobitu.bin [2010.09.29 00:36:38 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Blayahasafo.dat :FILES :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne den arbeitsplatz, c: dort rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen. lade dieses archiv hoch: dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
Log anbei. Neustart ohne den Antivirus Mist. Nur die Fehlermeldung "Fehler beim Laden von C:\WINDOWS\mdrchap.dll" Ob dies mit der Reinigung zu tun hat kann ich nicht sicher sagen. _OTL hochgeladen. MfG |
bitte keine eile :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Nach Installation und herunterladen der Wiederherstellungskonsole startete der Scan. Leider wurde dieser nach kurzem Suchen mit folgender Meldung unterbrochen: "Combofix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten" Nach Auto-Reboot werkelte das Programm fröhlich los. Nochmal Auto-Reboot -Logdatei und die Fehlermeldung. Wie dem auch sei, fertiges Log im Anhang. Bin ja echt begeistert von der Hilfe und den vielen pfiffigen Tools hier. |
start programme zubehör editor, kopiere rein. Killall:: Rootkit:: c:\windows\usikekibehav.dll Folder:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\SMJSSOS datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. öffne nun den arbeitsplatz, dort c: dort rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen und das archiv in unserem upload channel hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Anbei die Logs. Combofix wurde hochgeladen wie gehabt. Übrigens hab ich seit dem vorletztens Step beim Start immer für eine Sekunde ein Betriebssystemauswahlmenü. Irgendwas mit Debug oder so steht da noch dabei. Lädt aber sofort das normale System. MWB hatte nach dem entfernen nun wieder einen Neustart gefordert. Was gibt es als nächstes zu tun? Werde mich mal ausklinken, bis morgen und nochmals danke! |
bitte nutze den ccleaner, dateien + registry bereinigen. http://www.trojaner-board.de/51464-a...-ccleaner.html das menü am anfang entfernen wir zum schluss. 1. taucht die fehlermeldung noch auf? 2. wie läuft der pc |
CC Cleaner hat erfolgreich gesäubert und in der Registry 22 Fehler behoben. Es tauchten auch keine neuen auf. Nach einem Neustart erscheint keine Fehlermeldung und der PC macht einen richtig guten und flotten Eindruck. |
ok öffne jetzt den ccleaner. extras, liste der instalierten programme. diese speicherst du als txt diese txt öffnest du, hinter notwendige programme schreibe notwendig, hinter nicht benötigte unnötig und hinter unbekannte, unbekannt. diese liste posten. |
Anbei die Datei. Im Zweifelsfall eher mehr unnötige Pampe weg. |
ok los gehts. Adobe Reader 8.1.2 deinstalieren und ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: http://computer.t-online.de/adobe-re...15363164/index behalte aber: EScript.api Escript.deu Search.api Search.DEU deinstaliere: Ad-Aware SE Personal Lavasoft Adobe AIR Bonjour wird von den meisten nicht benötigt und wird von apple ungefragt mit instaliert. DivX zeug weg, vlc is gut :-) Google Toolbar Java(TM) 6 Update 17 updaten: Download der kostenlosen Java-Software weiter mit deinstalationen: Launch Manager Media Library Management Wizard Movie Maker kannst ja mal nachfragen und wenn ers weg haben will, dann runter damit PowerProducer wird zum dvd erstellen gebraucht, falls nicht benötigt, weg Vodafone Mobile Connect das ganze bonus zeug für den media player kann im prinzip weg. wir solltem dem mal nen antiviren programm spendieren. wie läuft der pc jetzt nach den instalationen? |
Liste der Anhänge anzeigen (Anzahl: 3) So, also nachdem ich einigen Mist deinstalliert habe, hab ich einen frischen avira antivir aufgesetzt und versucht adobe und java zu installieren. Leider hat dies aus irgendwelchen Gründen nicht geklappt. Nach ner guten halben Stunde immer noch kein Fortschritt. An nem andren PC im gleichen Netzwerk (nur eine Buchse nebendran ;-) ) klappts - kann also nicht am Router liegen. Ja danach hab ich erst mal händig ein windowsupdate angewiesen und ca 80 Updates installieren lassen. Da dies einige Zeit beansprucht hat, bin ich zwischendurch weg gewesen (Laptop war am Netz) Nach meiner Rückkehr waren die Updates installiert, aber avira heulte los wegen einem Rootkit.Gen.3 siehe Screenshots im Anhang. Meinem Anschein nach lief der Rechner wieder wunderbar und sauber. Hatte eben nur av installiert, da ich ins netz musste. Was machen wir nun? :-( |
ich brauch die avira meldung im klartext, bitte unter ereignisse schauen und meldung posten |
Anbei das log. MfG |
die avira meldung ist in der systemwiederherstellung. welches problem gibts denn genau beim adobe update, kannst du die seite nicht aufrufen oder wie oder was? :-) |
Doch, der Download Manager startet. Lädt aber nicht. Ich versuchs nachher nochmal. Sollte ja eigentlich kein Problem sein. Avira meckert schon wieder mit System volume informatoion\_restore..... eine A0022270.dll mit TR/Trash.Gen Was heißt, das ist in der Widerherstellung? Ist es möglich, die Punkte einfach zu löschen und dann wäre der PC sauber, oder bin ich da auf dem falschen Ansatz? Danke! |
ja, rechtsklick arbeitsplatz eigenschaften, systemwiederherstellung, auf allen laufwerken übernehmen, ok. 5 min warten, wieder einschalten. versuch den download mal mit dem internet explorer. |
So nach dem Löschen der Widerherstellungspunkte ist auch nach einigen Stunden keine Warnmeldung mehr aufgetaucht. Sieht gut aus. Acrobat Reader ist drauf und Java+Web Einstellung gemacht. Der link zur T-online Seite geht übrigens nicht. Was steht nun noch an, bzgl des 1Sek Auswahlfensters beim Starten? Kann man das OK zum "clean" geben? edit: Java Update ist auch drauf. |
Adobe Reader schneller starten der link gib mal bei start, ausführen boot.ini ein enter inhalt posten. |
Zitat:
die boot ini |
jetzt öffne den arbeitsplatz, dort c: dort rechtsklick auf boot.ini, eigenschaften, haken bei schreibschutz raus, übernehmen, ok öffne sie lösche: C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons speichern, schreibschutz wieder rein, übernehmen, ok pc neu starten |
mmh nach löschen der zeile steht da noch "do not select this" und dahinter etwas mit debugger ??? edit: zeile " UnsupportedDebug="do not select this" /debug" auch löschen würd ich sagen, oder? |
ja das kannst auch mit löschen. |
Wunderbar, läuft wieder! Was meinste, sind wir am Ziel? :-D |
noch nicht ganz, aber wir nähern uns dem ende. avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Mmh also gefunden wurden irgendwelche Recoverydateien vom Spybot S&D. Denke das ist nichts besondres. Aber was sind die andren beiden im dem seltsamen Ordner Verona oder so? Oh man und ich dachte das Teil wär endlich fertig. Hab alles in Quarantäne verschoben (war nichts andres zum auswählen und dann dort gelöscht.) Log anbei. Danke nochmals. edit: hab grade in der reg unter windows-current version - internet settingg - zonemap - domains eine ellenlange liste alles möglichen spam und xxx seiten gefunden. Wozu gehört das alles und kann ich das bedenkenlos löschen? Wollte eigentlich nur nach resten vom spybot s&d suchen |
hi, die einträge von spybot kannst du so lassen, das sind einträge in der hosts datei, es macht sowieso keinen sinn die registry zu bereinigen. d2. du hast bei avira vergessen die rootkit suche zu aktivieren, mach das bitte und update dann, scanne erneut über lokaler schutz, lokale laufwerke und poste das ergebnis. |
So, nun nochmal mit Rootkit und ohne Meldung. Nach dem Entfernen von Gestern hatte ich nochmal einen suchlauf gestartet, wobei er wieder im _restore was gefunden hatte. Allerdings hatte ich die Widerherstellungspunkte ja gelöscht und nach ner Wartezeit von 2 Stunden wieder aktiviert. Log im Anhang. |
|
Also das einzigste was gefunden wurde war Zitat:
Und nun, deine Meinung? |
dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. einer der sichersten browser ist opera. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox. mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren lesezeichen importieren: Lesezeichen ? OperaWiki bitte folgendes durchführen: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 2 wählen, diese ist ausreichend gut. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. wenn du doch lieber den ff nutzt, sag mir bescheid, dann muss ich da was anpassen, anleitung ist ja auf opera ausgelegt. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. alle passwörter endern! surfe ab sofort nur noch in sandboxie, zu erreichen mit klick auf "sandboxed web browser" |
Hallo! Also hab den PC denke jetzt soweit sicher. Opera lass ich mal außen vor. Kenne ich zwar, kann mich aber nicht mehr so wirklich mit anfreunden. Trotzdem danke für den Tip. Alles in allem einen riesen Dank für deine tolle Unterstützung hier im Board. Werde dich und das Board selbstverstänlich weiterempfehlen! Viele Grüße |
ok dann hier noch was für den firefox: als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. dann noch die anpassungen für sandboxie: den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. |
Ja für den Fox kannte ich die Tools schon. :abklatsch: |
ok dan is ja gut, aber die einstellungen für sandboxie hätte ich ja trotzdem posten müssen damit sie da laufen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board