"Wind.Sec.Alert." - wirklich schon weg ? (CCCleaner gelaufen + mit HijackLog)
 

Frohe Weihnachten möchte ich allen erstmal wünschen :-)

Nun zu meinem Problem - selbstverständlich habe ich vorweg etwas auf diesem Board gesucht und gelesen. So ganz wurde ich jedoch nicht schlau draus.
So plötzlich wie ich mir den "Win.Sec.Alert" eingefangen habe, ist er auch schon wieder weg.
Leider traue ich dem noch nicht so ganz...
Was ich bisher gemacht habe:
-AVAST Home auf "Fehler" prüfen lassen. (1 gefunden und beseitigt)
-sonstige Programme wollten nicht laufen, kam immer "Fehlermeldung" vom Trojaner
-Problem bestand jedoch weiterhin
-PC vom Internet gekappt
-Reboot und im abgesicherten Modus HijackThis und Trojan Remover (hatte ich beides noch auf der Platte) laufen gelassen
-Reboot und Internet erneut "eingeschaltet"
-Konnte keine Internetseiten aufrufen, da er mir irgendwas von falschen ProxyEinstellungen sagte
-ALso in den FireFox Einstellungen "ProxyEinstellungen des Systems" geändert auf "manuelle ProxyEinstellungen" - jedoch nichts eingetragen.
-Siehe da - ich kann Internetseiten wie vorher besuchen.
-Zum Schluß habe ich jetzt grad den CCCleaner laufen lassen und solange Fehler beheben lassen, bis der nichts mehr gefunden hat.
Wie gesagt bin ich nun noch etwas mißtrauisch und würde gern herausfinden, ob es wirklich bereinigt ist
Seltsam ist nun allerdings, dass ich nicht mehr "mein Internetradio" hören kann. !? Es möchte nicht starten...
www.181.fm/playing.php?station=181-hairband&embed=1



Ich Danke erstmal im Vorraus für eure Antworten und wünsche weiterhin ein super schönes Fest !!
p.s. Falls ich irgendwelche wichtigen Informationen vergessen habe, so bitte ich um Entschuldigung und Verständnis für einen alten "Computer-Noob":bussi:

Hier erstmal mein Logfile von Hijack (Bevor CCCleaner drüber lief)
Und hier der LogFIle vom OTL :
P.S. ist solch ein Trojaner wie der Wind.Sec.Alert gefährlich, bezüglich "Passwort-Klau" ? Also lieber erstmal kein Ebay, Amazon und Paypal etc. ?
P.p.s.Wie kann es sein, dass sich so ein "Trojaner" an das "Avast Home Programm" vorbei schleust ? Die letzten ca. 5 Jahre war ich komplett Viren/Trojaner frei dank des Avast...
:dankeschoen:

Hallo pooooo,


frohe Weihnachten :)

Vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst - doofe Fragen gibt es nicht.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:




Starte OTL, klick auf "CleanUp!", starte deinen Computer neu falls es dir angeboten wird. Danach lade dir erneut OTL herunter und führe es aus nach folgender Anleitung (Beachte, dass OTL auf dem Desktop gespeichert werden soll!):





1.) Systemscan mit OTL
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.) Gmer - Rootkitscan
Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

So, hier erstmal das OTL.txt und nachfolgend das Extras.txt
Habe nun leider auch Probleme mit dem Wlan im Haus.
Der schimpft über die ProxyEinstellungen ... und mein Fritz-Repeater bekommt auch kein Signal.
Werde das mit dem Gmer - Rootkitscan gleich morgen früh machen.

Vielen Dank erstmal für die ersten Anweisungen !!!

Du hast wohl ausversehen zweimal dasselbe Logfile von OTL gepostet. Da fehlt noch die neue OTL.txt.

Sorry, konnte gestern Abend nicht mehr. Da kam dann doch das Weihnachtsessen mit der Familie "dazwischen" :-)
War aber sehr lecker.:party:
Nun, hier dann Beide: (habe alles grad nochmal genau nach Plan "neu" gemacht"

Zuerst OTL.txt und nachfolgend Extras.txt - ganz unten dann der DeFogger.Txt und damit alles komplett ist ganz hinten zum Schluß dann
das Gmer Log.

Na, bei nem leckeren Weihnachtsessen sag ich auch nicht nein :lach:

Dann fehlt bloss noch Gmer :)

Habe ich grad noch dem Post hinten beigefügt.
Also alles komplett:daumenhoc

Wer oder was hat dir überhaupt den "Win.Sec.Alert" gemeldet? War das Avast?
Wie lautete die Fehlermeldung?





1.) Vertrauenswürdige Zone zurücksetzen
Lade Trusted_Zonefix.zip herunter.

• Auf den Desktop entpacken.
• Alle anderen Anwendungen schließen, denn der PC wird automatisch neu gestartet.
• Ordner Trusted_Zonefix öffnen,
• Trusted_Zonefix.bat doppelklicken,
• drücke die Taste 1 => Enter und
• den Anweisungen auf dem Bildschirm folgen.

2.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\C.tmp -- (MEMSWEEP2)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074
FF - prefs.js..network.proxy.type: 1
O4 - HKCU..\Run: [confNetIde]  File not found
O4 - HKCU..\Run: [SmartHelpvga]  File not found
O33 - MountPoints2\{5bccf0c4-433f-11df-b3a4-001966c1cc4e}\Shell\AutoRun\command - "" = K:\Menu.exe -- File not found
[2010.12.26 11:13:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\tapimappnp
[2010.12.21 11:38:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\SKIDROW
[2010.12.21 11:28:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\SecurityAuthenticationIde
[2010.12.12 11:22:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Updater
[2010.12.05 13:30:14 | 000,000,471 | ---- | M] () -- C:\WINDOWS\System32\Datei4
[2010.12.05 13:30:14 | 000,000,471 | ---- | M] () -- C:\WINDOWS\System32\Datei2
[2010.12.05 13:30:14 | 000,000,470 | ---- | M] () -- C:\WINDOWS\System32\Datei3
[2010.12.05 13:30:14 | 000,000,470 | ---- | M] () -- C:\WINDOWS\System32\Datei1
[2010.12.05 13:30:14 | 000,000,469 | ---- | M] () -- C:\WINDOWS\System32\Datei7
[2010.12.05 13:30:14 | 000,000,469 | ---- | M] () -- C:\WINDOWS\System32\Datei5
[2010.12.05 13:30:14 | 000,000,468 | ---- | M] () -- C:\WINDOWS\System32\Datei0
[2010.12.05 13:30:14 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei9
[2010.12.05 13:30:14 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei8
[2010.12.05 13:30:14 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei10
[2010.12.05 13:30:14 | 000,000,465 | ---- | M] () -- C:\WINDOWS\System32\Datei6
[2010.11.16 17:14:46 | 000,157,184 | -HS- | C] () -- C:\WINDOWS\System32\SCS.dll
[2010.11.16 17:14:46 | 000,113,152 | -HS- | C] () -- C:\WINDOWS\System32\SCX.dll
[2010.11.07 11:26:50 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe
[2009.10.09 16:14:09 | 000,164,352 | -HS- | C] () -- C:\WINDOWS\System32\SC.dll
@Alternate Data Stream - 1227 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:asj0cTx1YfPhhe5DJmlcZkWyEY6
@Alternate Data Stream - 1112 bytes -> C:\Programme\Gemeinsame Dateien\Microsoft Shared:ecFP31h8pbzSfo3rlvaYKr8
@Alternate Data Stream - 1088 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:yirnBQ2ABaGlR4IPSHjRKP1
@Alternate Data Stream - 1080 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:uAdqDNGoyGdclzbFM
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Erstelle im Anschluss bitte zwei neue OTL-Logfiles und poste sie wieder in Codetags hierher in den Thread. Und überprüfe, welche Probleme nun noch vorhanden sind.

Guten Morgen
Zur Fehlermeldung:
Bevor ich Avast Hijack und Co hab scannen lassen, konnte ich weder im Internet noch auf meiner Festplatte Seiten/Ordner bzw. Programme öffnen.
Was genau in der Fehlermeldung stand weiß ich leider nicht mehr :-(
Irgendwas dahingehend, dass mein Pc angegriffen wird von VIren etc. verseucht wird. Wenn ich vollen Schutz haben wollte, musste ich "OK" drücken. (Habe ich natürlich nicht gemacht)
Rechts unten war jedoch ein Symbol auf der Taskleiste fixiert, welches stets die Meldung gebracht hat "Windows Security Alert".(ließ sich nicht entfernen)
Im Internet konnte ich keine Seite mehr aufrufen, stattdessen hat es mich automatisch zu einer Seite geführt, wo Antiviren Software verkauft wird.
Windows Security Alert eben.
Naja, nachdem ich eben mehrfach gescannt hatte und die InternetVerbindung gekappt hatte, waren die nervigen PopUps weg.
Jedoch konnte ich zunächst nicht ins Internet - es war irgendwas wohl verstellt mit den Proxy-Einstellungen !?
Nachdem ich dann in den Einstellungen von FireFOx von "Proxy-Einst.des Systems" auf "Manuelle Proxy Einst." gewechselt hatte funktionierten die Internet.
Seltsam - die Seite wo ich mein Internetradio hörte funktionierte zwar, jedoch wollte der Radio-Stream nicht starten. (funktioniert Jetzt wieder !)
Nun funktioniert auf einmal das Internet auch mit "Proxy-Einstellungen des Systems verwenden".
Einziges Problem, bzw. was Anders ist zur Zeit, ist das Fehlen der Bilder wenn ich eine SystemEmail von Ebay erhalte. Normalerweise fragt mich mein Outlook dann oben in einer kleinen Leiste ob die geblockten Bilder angezeigt werden sollen. Klicke ich nun Ja, werden sie weiterhin geblockt.
Mehr fällt mir zunächst nicht auf, was natürlich nciht heisst, dass ich nicht weiterhin wachsam bleibe.
Ich werden den Rechner einfach mal durch normales Nutzen "beobachten" und dann "Seltsamigkeiten" hier in diesem Thread posten.
Bis zum nächsten Post möchte ich dir erstmal herzlich für deine bisherige Hilfe danken !

1.) Malwarebytes Antimalware
Lasse MBAM bitte dein System scannen.
Hier findest du eine Anleitung mit Downloadlink und allem. Aber mach statt des Quickscans bitte einen Vollständigen Suchlauf.





2.) Eset Online Scan
ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Hi,

während ich hier schreibe, läuft im Hintergrund wie "angeordnet":pfeiff::lach: Malware Antimalware über meine beiden Platten.
Beim hochfahren meines Pc´s kamen mehrere PopUp Fenster.
Schuld ist warscheinlich der/die Qj1.exe und Qj4.exe die ich im Taskmanager endeckt habe.
Leider benötigt der etwas länger für meine externe Platte.
Bisher hat der 9 infizierte Objekte gefunden...
Mal schauen was noch kommt.:glaskugel:

Was denn für Popupfenster?

Seltsamerweise vom Internet Explorer (obwohl ich nur FireFox nutze)
Es waren so "Werbe-Pop-Ups". Von "wie funktionieren ihre Hirnhälften", über "Opel-Werbung" bis hin zu Sachen wie "wie soll ihr Baby heißen" oder "Wie alt werden sie " etc...
Im Übrigen läuft der Scan immernoch.(aktuell 17 infizierte Dateien)
Während ich grad kurz weg war, haben sich 19 solcher PopUps geöffnet. Alle im Internet Explorer - wobei ich den FireFox als Standard Browser eingestellt habe.
Im Taskmanager erneut qj1.exe, qj4.exe sowie Qkohua.exe (oder so ähnlich).
Der ESET Scanner läuft grad noch. Werde nachher nochmal das Log vom Eset posten - Bisher bei 10% und hat 1 "Schädling" gefunden. Eine Art Java-Trojan-Downloader

Ist das nun neu dazugekommen? Warte erstmal noch mit dem Eset Onlinescan und zeig mir erst das Log von Malwarebytes, sobald der Scan durch ist. (Kann manchmal 30 Min dauern, manchmal 3 Stunden)

Also die ganzen Scans die ich vorher machen sollte haben da nichts dergleichen gefunden...ob das neu oder nicht ist, kann ich ehrlich gesagt nicht sagen. Mir ist es eben nur im Taskmanager aufgefallen.
mbam.Log ist nun ja gepostet. Eset folgt gleich, bzw nachher hinterher. (denk mal es wird eher 2Std. als 20 Min dauern:party: )

Das schöne am sportlichen Ehrgeiz ist doch, wenn es nachher garnicht klappt, gibts zur Not noch den Format C :abklatsch:

Ich meld mich später nochmal mit dem Log.

Dank dir bis dahin !!!

Nein, die Frage war, ob die Popups schon die ganze Zeit aufgetaucht sind, oder ob das nun neu war ;)

i:\amplitube\KeyGen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
i:\melodyne\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.


Wenn du dir sowas runterlädst und es auf deinem PC ausführst, öffnest du der Malware Tür und Tor. Würde mich nicht im Geringsten wundern, wenn alle deine Probleme daherrühren, immerhin sind sehr viele Keygens mit Malware verseucht. Bei Cracks und Keygens endet der Support! Später mit dem neuen System dann darauf verzichten.

Du hast Recht mit dem was du sagst. Dateien sind gelöscht.
Hatte sie einfach im "Nirvana" der Ext.Platte vergessen.
Da ich es mehrfach erlebte, dass Programme nicht mit Anderen (Software, Hardware etc.) reibungslos arbeiten, war die Versuchung zu groß zum Freund nein zu sagen, als er damit ankam und meinte "Teste es doch vorm Kauf". Nunja, die gecrackten Programme nutze ich schon lange nicht mehr, wurden eben nur vergessen. Egal, wenn das dabei raus kommt, muss ich mir was anderes überlegen zum Programme testen.
Seltsam eigentlich nur, da die Dateien wirklich schon lange ungenutzt auf der Platte liegen und nun anfangen zu meckern.
Auch wenn der Support endet, möchte ich dir herzlich für deine bisherige Hilfe danken !!!

Wie wärs denn mit Demos? Bin zwar nicht die allzu große Zockerin, aber Demos habe ich auch schon gespielt. (Besser wie Keygens allemal. ;))
Und soweit ich weiß, sind die ja auch zum Testen gedacht :daumenhoc

Für die Zukunft: Sicherheit im Internet

Hallo,
es handelt sich hierbei nicht um Spiele. Es sind Zusatzprogramme zum Musik machen.
Demos gibt es manchmal ja, jedoch so eingeschränkt, dass sie selbst zum Testen nichts taugen. Das Problem ist ja, dass selbst Mindestanforderungen laut Hersteller nicht hinhauen. Schreibt man dann den Support an, wird einem mitgeteilt, dass es sich wohl um ein Hardware/Software Problem bei einem handelt...
Und umtauschen läßt sich geöffnete Software nicht. Egal, wird mir nicht noch einmal passieren :-)

Oh sorry, meist sinds ja doch Spielekeygens ;) Aber mal im Ernst, wer kauft denn noch die Software, wenn er nen Keygen benutzt? So ganz glaub ich dir das nicht.

Gut, dann mal alles Gute :)

Das ist ganz einfach : Leute die für ihr Geld arbeiten gehen und kein Bock darauf haben, sich Software zu kaufen, die nachher zu irgendwas "nicht kompatibel" ist und man das Geld umsonst ausgegeben hat, weil mans nicht zurück geben kann.
Ich gebe gern Geld für gute Sachen aus, ich möchte nur vorher wissen obs fukntioniert oder nicht. Im Geschäft sagen sie ALLE "klar funktioniert das" - sie wollen ja verkaufen.
Nur wer sitzt dann mit dem Ärger zuhause, weils eben nicht funktioniert ?
Genau, Derjenige, der bereits das Geld auf den Tisch gelegt hat:taenzer:
Trotz Allem möchte ich das natürlich nicht damit entschuldigen, weil es definitiv falsch ist.