[Windows 7-64 bit] !! Win 7 Security 2012 Virus !!

Alles klar!! Werd ich machen!

Ganz kurze Frage nur noch zu dem Link den du mir geschickt hast. Was genau heißt das was ich da sehen kann? AntiVir kann den Virus nicht finden?? Und das andere alles?

Vielen vielen Dank übrigens für die Hilfe! Das sollte auch mal gesagt sein! Danke!

[AHT]

Der erste LInk ist ein Scanergebnis verschiedener Virenscanner.
Der zweite Link ist ein Scan einer Sandbox - da sieht man, das es ein Backdoor ist. Der Trojaner ruft zwei Serveradressen auf und sucht dort nach Befehlen, um diese auszuführen.

Dein Konto und deine Passwörter sind in Gefahr.

Heißt das dann das nur diese 4 oder 5 Virenscanner den Virus gefunden haben??
Das... ist krass. Je nachdem welchen Scanner man installiert hat, hat man ja garkeine Chance den Virus zu bereinigen. OMG

Zudem funktioniert der zweite Link irgendwie nicht

[AHT]

Genau - da ich die Datei jetzt aber habe, wird sich das sehr schnell ändern. Ich verpetze das Ding heute Abend bei den restlichen Scannern.

[AHT]

Zitat:

Zitat von DTS

Je nachdem welchen Scanner man installiert hat, hat man ja garkeine Chance den Virus zu bereinigen.

So ist es - das ist aber der Regelfall, bis der Virus sich so verbreitet hat, das alle Scanner den kennen.
LEO wird dir Tipps geben, wie du solche Überraschungen demnächst möglichst vermeiden kannst und im Internet besser geschützt bist.

Alles klar, dann warte ich mal auf Leo

Da sowas jetzt schon zum zweiten Mal innerhalb von knapp 3 Wochen passiert ist sollten ein paar Tipps zur Vermeidung wirklich mal gut tun!

Danke nochmal AHT!

[Der Leo]

So dann machen wir mal weiter.

Zunächst werden wir deinen PC auf weitere Malware prüfen.

Kaspersky TDSSKiller


Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• Klicke auf Change parameters
• Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
• Warte bis zum Ende der Untersuchung .
• Sollten Threats gefunden werden so wähle Skip aus.
• Bestätige unten Links mit Continue
• Schließe das Fenster vom TDSSKiller
• Navigiere nun zu C:
• Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_logbitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.


Werd mir das Log vom PPFscaner später anschauen.

Sorry das ich den Post gestern Abend nicht mehr gesehen hab.

Hier die Berichte:

File-Upload.net - TDSSKiller.2.7.9.0_05.02.2012_13.33.12_log.txt

File-Upload.net - Extras.Txt

File-Upload.net - OTL.Txt

Ich habe die Scans im Abgesicherten Modus durchgeführt. Ist das in Ordnung gewesen?

[Der Leo]

Hallo,

• Starte bitte die OTL.exe
• Kopiere nun folgendes in die Textbox (ohne das Wort Code: ).

Code:

:OTL 
IE - HKU\S-1-5-21-1458589642-169089612-2498546652-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to the VAIO portal
IE - HKU\S-1-5-21-1458589642-169089612-2498546652-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Sony | MSN [binary data]
[2012.02.03 22:36:40 | 000,000,000 | ---D | C] -- C:\ProgramData\F4D55F590000805B006CDDF4B4EB2367
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

Hinweis für Mitleser:

Dieses Script wurde speziell für diesen User erstellt.
Es kann nicht auf anderen System (trotz ähnlicher Sympthome) übertragen werden.
Dieses Script kann bei falscher Anwendungen einen Rechner starke schäden anrichten!

Schritt 1
Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Schritt 2
ESET Onlinescanner wie folgt einsetzen.
ESET Online Scanner

Der Scan kann länger als sonst dauern da das System gründlich durchsucht wird.

Hallo!

Diesmal habe ich die Aktionen im normalen Modus durchgeführt.
Hier das Ergebnis des OTL-Befehls:

All processes killed
========== OTL ==========
HKU\S-1-5-21-1458589642-169089612-2498546652-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-21-1458589642-169089612-2498546652-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!
Folder C:\ProgramData\F4D55F590000805B006CDDF4B4EB2367\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\ NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\ NoActiveDesktopChanges deleted successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56502 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Timo
->Flash cache emptied: 56972 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Timo
->Temp folder emptied: 140079357 bytes
->Temporary Internet Files folder emptied: 13785093 bytes
->Java cache emptied: 62369 bytes
->FireFox cache emptied: 50632318 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55340022 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temp orary Internet Files folder emptied: 156076 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 248,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02052012_183449

Files\Folders moved on Reboot...
C:\Users\Timo\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...


Ob der Combo-Fix-Suchlauf richtig funktioniert hat weiß ich nicht. Ich habe zwar den Echtzeitscanner von Antivir deaktiviert, aber Combofix meinte das der noch aktiv sein. Im Bericht steht auch das irgednwas mit dem Windows Defender war (aktiv oder so).
Sollte das nicht gepasst haben, muss ichs halt nochmal machen.

Hier der Link zum Bericht: File-Upload.net - ComboFix.txt

Ich werde jetzt den ESET Onlinescanner nutzen und meld mich gleich nochmal

[Der Leo]

Hallo,

Combofix ist korrekt durchgelaufen

Nach ESET bitte folgendes tun.

• Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop speichern. Gib an "Alle Dateien"

Code:

KILLALL:: 
Folder:: 
c:\programdata\F4D55F590000805B006CDDF4B4EB2367

• cfscript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen

• Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
• In C:\ComboFix.txt findest du das Log.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

ESET Scan lief. Er hat drei Dateien gefunden. Eine PPFScan-Datei und 2 Dateien in Zusammenhang mit meinem PDF Creator (bzw. dessen Tool- oder Searchbar).
Hier das Logfile. Scan lief im normalen Modus!

File-Upload.net - log.txt


Und hier das neue Combofix Logfile:

File-Upload.net - ComboFix.txt

[Der Leo]

Das Log von Eset ist fehlerhaft... Irgendwas ist da schiefgelaufen. Klingt aber ganz so, dass nur Überreste vom Scripten und Toolbars gefunden wurde. Von daher nicht weiter wichtig.

Der Ordner im dem die Malware versteckt war ist nun auch weg.
Wenn AHT nun nichts mehr hat, würde ich gerne mit dem Abschlussscan und der Bereinigung der eingesetzen Tools beginnen...

[AHT]

Ich denke, LEO hat alles erwischt. Mach noch mal das:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Ich habe den ESET Scan über Internet Explorer laufen lassen weil ich Antivir nicht deaktivieren wollte dafür. Aber ich arbeite normalerweise immer nur im Firefox und IE ist dementsprechend nicht konfiguriert.
Der Scan hat zwar knapp 2 Stunden gedauert, aber mir ist lieber ich mach das nochmal und alles passt, als das Viren unerkannt bleiben, wie du, wie ihr wollt...

Hier die Textdateien nach dem PPFScan:

File-Upload.net - Drivers.txt

File-Upload.net - Eventlog.txt

File-Upload.net - Files.txt

File-Upload.net - Firewall.txt

File-Upload.net - Hidden.txt

File-Upload.net - MD5.txt

File-Upload.net - Modules.txt

File-Upload.net - ppFiles.txt

File-Upload.net - ppRegistry.txt

File-Upload.net - Processes.txt

File-Upload.net - Scripting.txt

File-Upload.net - Services.txt

File-Upload.net - Threads.txt

File-Upload.net - Warnings.txt