|
Virus "Antivirus Scan" legt PC lahm - kein Programm, keine Datei und Internetseite ist zu öffnen Hallo Trojanerbekämpfer, wie auch Ashcroft habe ich auch einen Virus, der fälschlich einen Antivirusscan durchführt. In der Taskleiste rechts unten wird "Windows Security Alert" angezeigt und es erfolgen Meldungen, es seien bestimmte Dateien "infected". Man wird folgend gefragt "Do you want to activate your antivirus software now?" Alle solche Meldungen habe ich immer weggeklickt. Egal mit welchem Browser ich ins Internet gehe, so wird nicht die gewünschte Seite geladen, sondern nur eine, in der mir mitgeteilt wird, die gewünschte Seite enthalte Malware. So wird auf eine Seite aufmerksam gemacht auf der man von "Antivirus Scan" Antivirus-Programme kaufen kann. Ich konnte einmal noch meinen McAffee-Scan durchlaufen lassen, der aber keine Probleme gefunden hat. Daraufhin wollte ich es mit Anti-Malwarebytes versuchen, das ich zum Bezwingen meines ersten und bisher letzten Virus' gedownloadet hatte. Doch ich kann keine einzige Datei und kein Programm mehr öffnen. Es folgen nur fälschliche "file infected"-Meldungen. Wegen des oben genannten Internetproblems, kann ich auch nicht HiJackthis downloaden und das Ergebnis hier posten. Ich muss zurzeit für meine Recherche und Meldung hier deshalb einen anderen PC benutzen. Im Internet habe ich nur unprofessionelle Hilfe gefunden, siehe: h**p://news.loaris.com/de/antivirus-scan-rogue-how-to-uninstall-antivirus-scan-fake-anti-spyware/ Hier hätte ich fast einen weiteren Virus, nämlich "Loaris Trojan Remover" gedownloadet (Hier auf Trojaner-Board wurde er zumindest als solcher entlarvt). Was soll ich tun? Kann es mir was nützen auf meinem "Virus"-PC in den "abgesicherten Modus" zu gehen. Vielen Dank für Hilfe T. Montana |
im abgesicherten modus dann folgendes probieren Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Danke für die schnelle Antwort! Die OTL.txt war zu groß zum hochladen, deswegen habe ich sie zweigeteilt... Anhang 12114 Anhang 12115 Anhang 12116 |
ersetze *** durch usernamen im script! • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-69605746-3661007371-1336738957-1000..\Run: [hgxwksfq] C:\Users\***\AppData\Local\Temp\qetfhtdjq\cwjqridlajb.exe () :Files C:\Users\***\AppData\Local\Temp\qetfhtdjq\cwjqridlajb :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. öffne mein computer, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
Hier das gewünschte Dokument: Anhang 12237 Beim Neustart bin ich diesmal nicht in den abgesicherten Modus hineingegangen. Es kamen dann auf dem Desktop nicht mehr die "file ... infected" und "Windows Security Alert" Meldungen. Ins Internet bin ich nicht gegangen. Aber dann kam nach 2min ein "Fast Scan", den ich zuvor noch nicht gesehen hatte. Deswegen habe ich den Computer dann gleich runtergefahren und bin in den abgesicherten Modus gegangen. Leider verstehe ich nicht deine Anweisungen, was ich mit den "moved files" im "OTL"-Ordner machen soll. Genauer versteh ich nicht, wie man nach dem Rechtsklick hinzufügt und was überhaupt hinzugefügt werden soll.:confused: (Sry, wahrscheinlich stell ich mich einfach zu dämlich an. Habe bitte Nachsicht^^) Thx |
na du sollst rechtsklick und dann mit winrar oder zip den ordner moved files packen und dann hochladen. danach weiter: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Dummerweise habe ich Probleme. Die Moved Files sind zwar zip komprimiert, aber die Dateigröße beträgt ca. 300 kb, und man kann ja nur ca. 150kb hochladen. Leider kann ich die Datei auch nicht teilen, weil eine Anwendung so viel Platz raubt. Aber das einzige Textdokument in diesem Ordner, welches zum Hochladen leider eine ungültige Datei ist, hat diesen Inhalt: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-69605746-3661007371-1336738957-1000\Software\Microsoft\Windows\CurrentVersion\Run\\hgxwksfq deleted successfully. C:\Users\Xandi\AppData\Local\Temp\qetfhtdjq\cwjqridlajb.exe moved successfully. ========== FILES ========== File\Folder C:\Users\Xandi\AppData\Local\Temp\qetfhtdjq\cwjqridlajb not found. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: Default User: Default User User: Public User: Xandi ->Flash cache emptied: 14215 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: Xandi ->Temp folder emptied: 5769680 bytes ->Temporary Internet Files folder emptied: 25719562 bytes ->Java cache emptied: 2354282 bytes ->FireFox cache emptied: 111299825 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 24 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 292349 bytes RecycleBin emptied: 144364821 bytes Total Files Cleaned = 276,00 mb OTL by OldTimer - Version 3.2.20.1 log created on 01052011_235617 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Fürs Ausführen von ComboFix habe ich eigentlich bei meinem McAffee Total Protection alles deaktiviert, darunter auch den Echtzeitscanner und die Firewall. Dies habe ich mehrfach überprüft und den ComboFix neu ausgeführt. Trotzdem kommt folgende Meldung von ComboFix: ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind: antivirus: McAfee Anti-Virus und Anti-Spyware antispyware: McAfee Anti-Virus und Anti-Spyware Antivirus und Eindringling Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen. PC Schaden fuehren. Bitte deaktiviere diese Scanner, bevor du 'OK' klickst. Bisher habe ich immer ComboFix abgebrochen und McAfee überprüft. Aber da ist alles deaktiviert. Was soll ich weiter tun? Einfach trotzdem ComboFix laufen lassen? |
hi, erst mal moved files. eigendlich sollte der upload klappen, bisher gehen da auch über 1 mb. versuchs mal bitte. |
Ich würde ja gerne, aber es geht bzw. ich schaff es leider einfach nicht. Beim Upload-Versuch kommt immer diese Meldung: Anhänge verwalten Fehler beim Hochladen MovedFiles.zip: Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 146,5 KB. Ihre Datei ist 297,0 KB groß. |
willst du die hier im thread anhängen? das sollst du aber nicht, oben ist der link zum upload channel! hab ich ja auch geschrieben :-) |
Ich brauch halt a bissal länger^^ Habs jetzt moved files über den Upload-Channel hochgeladen. |
ahh! Ich brauch halt a bissal länger^^ Hab jetzt moved files über den Uploadchannel hochgeladen. |
dann jetzt weier mit combofix. |
Bei ComboFix habe ich ein Problem, das ich schon geschildert habe (vgl. bitte Antwort von mir am 06.01.2011 20:08). Ich habe eigentlich meinen McAfee Total Protection deaktiviert, aber es kommen trotzdem Meldungen, dass Echtzeit-Scanner noch aktiviert sind. Soll ich diese Meldungen übergehen und trotzdem ComboFix seine Arbeit tun lassen? |
aso, hatte vergessen das zu beantworten, du kannst combofix überspringen lassen, dann sollte es trotzdem gehen |
|
Hi, versuche jetzt im normalen modus zu starten, malwarebytes zu updaten und nen koplett scan laufen zu lassen |
Malwarebytes habe ich aktualisiert und den Scan durchlaufen lassen. die Log-Datei ist diese hier: Anhang 12329 Die infizierte Datei habe ich natürlich gelöscht. Im normalen Modus klappt alles so wie vorher und die Virus-Symptome sind nicht mehr da. Es macht mich froh, dass es im Internet neben mir schlecht gesonnenen auch noch Leute gibt, die einem wohl gesonnen sind. Für diese tolle Hilfe kann man nicht genug danken, aber mit einem Danke ist wenigstens ein erster Schritt getan :) :dankeschoen: ! |
danke :-) kannst du aus dem normalen modus heraus mal ein neues otl log erstellen? otl.txt reicht mir schon. |
|
dann mach mal, nach update, nen mc afee komplett scan, falls noch nicht geschehen :-) |
McAfee Scan hab ich jetzt auch gemacht. da war noch anscheinend eine infizierte Datei im movedfiles-Ordner aus dem otl-Ordner... |
jo da ist sie gut aufgehoben :-) lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Okay, ich weiß selber nicht so genau, was ich von den Microsoft und Apple Sachen brauch; ich schätze, manches davon ist Müll, was man einfach so immer mitinstalliert. Bei den Programmen, wo ich nichts dazugeschrieben hab, die sind notwendig. Nur den wenigen Rest habe ich beschriftet, wie von dir gewünscht. Anhang 12418 |
ok, dann deinstaliere die unnötigen und reinige mit dem ccleaner dateien und die registry |
Alles gemacht... So clean, war mein Computer wohl noch nie^^ Also vielen herzlichen Dank für diese grandiose Hilfe und Unterstützung! |
schon nen komplett scan mit mcafee gemacht? falls nein, tu das bitte |
ja, siehe eintrag 22! |
sorry hatte ich vergessen! wenn du magst können wir den pc noch absichern |
klingt gut :) was bedeutet das aber?^^ |
immer mit der ruhe :-) die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dieses tool 1x pro woche manuell ausführen. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen lesezeichen importieren: Lesezeichen ? OperaWiki um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html bitte die erweiterte ansicht auswählen und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt tutorial, pdf: http://download.paragon-software.com...me_evo_ger.pdf außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. - programme patches etc immer nur vom hersteller direkt laden. endere alle passwörter. danach, bitte nur noch im der sandbox surfen, mit klick auf "sandboxed web browser". diese einstellungen, sollten dich nun rund um schützen. |
Ich surfe lieber mit Firefox. Wie kann ich mit dem sicherer surfen? |
so sicher wie mit dem opera nicht... als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. sandbox einstellung: den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. |
Ich glaub, dass ich das jetzt alles hinbekommen haben dürfte... Das sind echt klasse Sicherheitsverbesserungen! Vielen Dank für alles! |
kein problem, schön das alles läuft! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board