[Windows 7-64 bit] ThisRockzz.exe - Paules-PC-Forum.de

21.09.2011, 22:33

Guten Abend,

ich habe unbewusst ein schädliches Programm runtergeladen und nun will sich bei jedem Windows Start eine ThisRockzz.exe ausführen. Ich vermute das es ein Virus ist. Die Datei befindet sich in Appdata/Roaming dort kann ich diese exe aber nicht finden und auch nicht entfernen. Darüber hinaus befindet sich seit ich dieses Programm runtergeladen habe eine Au_.exe in meinem Taskmanager! Bitte um hilfe um diese Viren zu löschen

mfg Jeff

markusg · 22.09.2011, 15:24

hi.
1. keine bedingung, aber es währe günstig wenn du dich anmeldest, dann muss man deine beiträge nicht freischalten.
2.

1. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
2. reiche alle evtl vorhandenen scan logs mit funden nach
auch fundorte benennen.
3.
Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
File-Upload.net - Ihr kostenloser File Hoster!
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.

Jeff123 · 22.09.2011, 16:43

So habe mich jetzt unter dem Namen Jeff123 registriert.

Hier der Download link mit den Scan ergebnissen.

File-Upload.net - Dokument.rtf

markusg · 22.09.2011, 16:49

hiho

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found
O4 - HKU\S-1-5-21-354258380-1970037352-955892160-1001..\Run: [Keyname] C:\Users\Fabian\AppData\Roaming\ThisRockzz.exe ()
:Files
C:\Users\Fabian\AppData\Roaming\ThisRockzz.exe
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv bei
File-Upload.net - Ihr kostenloser File Hoster!
hoch und sende mir den link als private nachicht.

markusg · 22.09.2011, 17:24

das nächste mal, nicht als profil sondern als private nachicht, sonst kann das jeder laden und sich damit infizieren.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

**AHT** · 22.09.2011, 18:45

Einmal Zwischenmeldung:

Sieht gewaltig nach einem kleinen Backdoor aus, der sich über HTTP Request Befehle von einer Seite im Netz herunterladen will. Die Seite existiert aber scheinbar (zum Glück) nicht mehr.

VirusTotal - Free Online Virus, Malware and URL Scanner

Comodo Instant Malware Analysis

Anubis - Analysis Report

markusg · 22.09.2011, 18:48

jo, verstehe eh nicht warum so wenige erkennungen, das teil wurde ja bereits im august analysiert und seit dem nur eine erkennung dazu gekommen

**AHT** · 22.09.2011, 18:59

Das Ding schmeißt eine englische MessageBox raus, wenn es sich nicht verbinden kann. Das ganze riecht nach einem Scriptkiddy (Code irgendwo kopiert). Die Verbreitung dürfte nicht groß sein.
Das Ding wurde mit Sicherheit noch von keinem Labor untersucht - sind ja alles generische Erkennungen. Ich überlasse dir das Einschicken.

Jeff123 · 22.09.2011, 19:07

So das war etwas kompliziert aber ich glaube ich habs geschafft

File-Upload.net - Qoobox.rar

P.S. Es gibt keinen CombiFix Ordner unter C: sondern ein Computer Symbol was mich lediglich zum "Computer" führt wo die Festplatte C: usw. angezeigt wird. Die Log Dateien waren stattdessen in einem "Qoobox" Ordner.

markusg · 22.09.2011, 19:10

ok sieht gut aus.
download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.
das log hochladen.

Jeff123 · 22.09.2011, 20:06

File-Upload.net - mbam-log-2011-09-22--19-59-57-.txt

Hier die Log. von Malewarebytes

mfg

markusg · 22.09.2011, 20:13

noch probleme?

Jeff123 · 22.09.2011, 20:22

Wenn ich Windows starte gibt es diese Meldung nicht mehr! Es hat wohl funktioniert! Tausend dank für deine Hilfe

Zum Glück war es wohl nichts ernstes!

markusg · 22.09.2011, 21:02

bitte endere alle passwörter.
öffne otl. klicke auf bereinigen, pc sollte neu starten und otl + andere removal tools löschen

21.09.2011, 22:33	#1 (Direktlink)
unregistriert Gast Beiträge: n/a	ThisRockzz.exe Guten Abend, ich habe unbewusst ein schädliches Programm runtergeladen und nun will sich bei jedem Windows Start eine ThisRockzz.exe ausführen. Ich vermute das es ein Virus ist. Die Datei befindet sich in Appdata/Roaming dort kann ich diese exe aber nicht finden und auch nicht entfernen. Darüber hinaus befindet sich seit ich dieses Programm runtergeladen habe eine Au_.exe in meinem Taskmanager! Bitte um hilfe um diese Viren zu löschen mfg Jeff

22.09.2011, 15:24	#2 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	hi. 1. keine bedingung, aber es währe günstig wenn du dich anmeldest, dann muss man deine beiträge nicht freischalten. 2. 1. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend. 2. reiche alle evtl vorhandenen scan logs mit funden nach auch fundorte benennen. 3. Systemscan mit OTL download otl: http://oldtimer.geekstogo.com/OTL.exe Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\. %ALLUSERSPROFILE%\Application Data\.exe /s %APPDATA%\. %APPDATA%\.exe /s %SYSTEMDRIVE%\.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\.sys /lockedfiles %systemroot%\System32\config\.sav %systemroot%\. /mp /s %systemroot%\system32\.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen: File-Upload.net - Ihr kostenloser File Hoster! klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen. poste den download link. __________________ >>>Supporter des Jahres, jede stimme zählt.<<<* http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 16:49	#4 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found O4 - HKU\S-1-5-21-354258380-1970037352-955892160-1001..\Run: [Keyname] C:\Users\Fabian\AppData\Roaming\ThisRockzz.exe () :Files C:\Users\Fabian\AppData\Roaming\ThisRockzz.exe :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv bei File-Upload.net - Ihr kostenloser File Hoster! hoch und sende mir den link als private nachicht. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 17:24	#5 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	das nächste mal, nicht als profil sondern als private nachicht, sonst kann das jeder laden und sich damit infizieren. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 18:45	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Einmal Zwischenmeldung: Sieht gewaltig nach einem kleinen Backdoor aus, der sich über HTTP Request Befehle von einer Seite im Netz herunterladen will. Die Seite existiert aber scheinbar (zum Glück) nicht mehr. VirusTotal - Free Online Virus, Malware and URL Scanner Comodo Instant Malware Analysis Anubis - Analysis Report __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

22.09.2011, 16:43	#3 (Direktlink)
Jeff123 Erfolgreich angemeldet Registriert seit: 22.09.2011 Beiträge: 4	So habe mich jetzt unter dem Namen Jeff123 registriert. Hier der Download link mit den Scan ergebnissen. File-Upload.net - Dokument.rtf

22.09.2011, 18:48	#7 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	jo, verstehe eh nicht warum so wenige erkennungen, das teil wurde ja bereits im august analysiert und seit dem nur eine erkennung dazu gekommen __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 18:59	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Das Ding schmeißt eine englische MessageBox raus, wenn es sich nicht verbinden kann. Das ganze riecht nach einem Scriptkiddy (Code irgendwo kopiert). Die Verbreitung dürfte nicht groß sein. Das Ding wurde mit Sicherheit noch von keinem Labor untersucht - sind ja alles generische Erkennungen. Ich überlasse dir das Einschicken. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

22.09.2011, 19:07	#9 (Direktlink)
Jeff123 Erfolgreich angemeldet Registriert seit: 22.09.2011 Beiträge: 4	So das war etwas kompliziert aber ich glaube ich habs geschafft File-Upload.net - Qoobox.rar P.S. Es gibt keinen CombiFix Ordner unter C: sondern ein Computer Symbol was mich lediglich zum "Computer" führt wo die Festplatte C: usw. angezeigt wird. Die Log Dateien waren stattdessen in einem "Qoobox" Ordner.

22.09.2011, 19:10	#10 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	ok sieht gut aus. download malwarebytes: Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. das log hochladen. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 20:06	#11 (Direktlink)
Jeff123 Erfolgreich angemeldet Registriert seit: 22.09.2011 Beiträge: 4	File-Upload.net - mbam-log-2011-09-22--19-59-57-.txt Hier die Log. von Malewarebytes mfg

22.09.2011, 20:13	#12 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	noch probleme? __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

22.09.2011, 20:22	#13 (Direktlink)
Jeff123 Erfolgreich angemeldet Registriert seit: 22.09.2011 Beiträge: 4	Wenn ich Windows starte gibt es diese Meldung nicht mehr! Es hat wohl funktioniert! Tausend dank für deine Hilfe Zum Glück war es wohl nichts ernstes!

22.09.2011, 21:02	#14 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	bitte endere alle passwörter. öffne otl. klicke auf bereinigen, pc sollte neu starten und otl + andere removal tools löschen __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln