[Windows Vista-32 bit] Gema / "Virus" - Trojaner (Bekomme ihn nicht los) - Paules-PC-Forum.de

Xaver · 06.02.2012, 17:25

Hallo liebes Forum,

ich hatte vor einiger Zeit einen ziemlichen schlimmen Virenbefall,
musste deshalb neu aufsetzen usw.

Damals dachte ich, ich hätte daraus gelernt, und (bitte schlagt mich jetzt nicht) keinen Virenscanner bzw. Firewall etc. installiert, da ich meinen
Laptop auf das Ultimo an Geschwindigkeit tunen wollte.

Es hat auch immer gut geklappt, da ich mich von komischen Seiten vergehalten habe. (Immer das übliche : web.de, facebook.de, diverse Foren)

Jetzt ist es mir leider passiert, dass ich mir letzte Woche diesen "Gema-Trojaner" eingefangen habe, dass eben mein PC gesperrt worden wäre und ich bezahlen müsse.

Habe dann im Inet recherchiert, und manche sagten, es wäre ein sehr billiger Virus, d.h. einfach nur Systemwiederherstellung.

Gesagt, getan! Lief danach wieder ganz normal.

Seitdem könnte ich schwören, dass ich mir auf KEINEN FALL etwas neues geholt habe.

Dennoch kam dann vor 2-3 Tagen erneut die Sperrung, diesmal aber mit der Nachricht ich bräuchte ein kostenpflichtiges Antiviren-Update.

Also habe ich im Abgesicherten Modus gestartet, und Malwarebytes durchlaufen lassen. Es hat 4 Sachen gefunden, gelöscht.

Dann hab ich einen neuen Wiederherstellungspunkt gemacht, und die alten allesamt gelöscht.

Heute dann die Ernüchterung: Aus heiterem Himmel wieder die "Sperrung".
Ich habe dann wieder im Abgs. Modus Malwarebytes laufen lassen, wieder die selben 4 Viren gefunden und gelöscht, um überhaupt wieder Zugang zum Rechner zu bekommen.
Hier die Logfile dazu:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.02.05.01

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.19170
Xaver :: NOTEBOOK [Administrator]

Schutz: Deaktiviert

06.02.2012 16:46:19
mbam-log-2012-02-06 (16-46-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 176904
Laufzeit: 4 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Xaver\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Xaver\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\winB6D2.tmp (FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Xaver\AppData\Local\temp\ms0cfg32.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hab jetzt mal die Systemwiederherstellung vorübergehend ausgeschaltet,
damit es keine Punkte mehr gibt, in denen sich der Virus verstecken kann?
(Ist das richtig?)

Außerdem hier noch die HiackThis-Logfile (nach der Reinigung)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:24:27, on 06.02.2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19170)
Boot mode: Normal

Running processes:
C:\windows\system32\taskeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HP | MSN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Program Files\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\windows\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\windows\System32\TUProgSt.exe

--
End of file - 4354 bytes

Ich verspreche, dass ich von nun an Schutzmaßnahmen ergreifen werde, alle die ihr wollt, und ich schäme mich, gedacht zu haben ich wäre schlauer als die anderen, aber bitte helft mir einfach nur diesen S*** hier loszubekommen.

Lg, Xaver

**AHT** · 06.02.2012, 17:36

Das hier tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Xaver · 06.02.2012, 19:13

**AHT** · 06.02.2012, 19:14

Rechner nicht herunterfahren!

Xaver · 06.02.2012, 19:15

Huch! Das klingt aber nicht gut

...

**AHT** · 06.02.2012, 19:25

Da läuft scheinbar ein RootKit bei dir.
Mache folgendes:

Lade dir nun bitte Combofix
ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen
klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten der PC startet neu.
Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

Xaver · 06.02.2012, 20:14

Hallo,

habe Combfix ausgeführt.(Schreibe von anderem PC aus)

Jetzt habe ich das Problem, dass ich nichts mehr öffnen kann.
Absolut gar nichts.

Es kommt immer die Meldung:

Es wurde versucht, ein Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Deswegen kann ich auch die Logfile nicht posten!

Aber beim Überfliegen erinnere ich mich ungefährt an:

SVChost war infiziert und wurde desinfiziert.

Explorer.exe ist infiziert.

Mehr weiß ich leider nicht.

Lg, Xaver

**AHT** · 06.02.2012, 20:18

Rechner neu starten. Wir holen und das LOG zur Not woanders weg.

**AHT** · 06.02.2012, 20:19

Melde dich danach mal, ob die Kiste wieder zu bedienen ist.

Xaver · 06.02.2012, 20:22

Jep, es geht wieder.

Hier der ComboFix Log:

File-Upload.net - ComboFix.txt

Lg, xaver

**AHT** · 06.02.2012, 20:24

Machst du Onlinebanking oder Einkäufe mit dem Ding? Sieht gar nicht gut aus...

Xaver · 06.02.2012, 20:30

Online-Banking nein, Einkäufe schon.
Aber seitdem der Befall da ist bzw. sich bemerkbar gemacht hat (letzte Woche) hab ich nix gekauft.

Wobei ich mir ziemlich sicher bin, dass ich zuvor keinen Virus drauf hatte,
da ich wirklich nie Seiten besucht hatte, die sowas verbreiten würden.

Letzte Woche einmal und das kommt dann dabei raus..

**AHT** · 06.02.2012, 20:33

Du hast einiges an Malware drauf unter anderem ein TDSS Rootkit: Neue Bedrohung durch TDSS/TDL: Neues Botnetz mit über 4,5 Millionen infizierten Rechnern - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Das tun:

Download : TDSSKiller.zip

Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

**AHT** · 06.02.2012, 20:36

Zitat:

Zitat von Xaver

da ich wirklich nie Seiten besucht hatte, die sowas verbreiten würden.

Das ist ein Trugschluss - kannst du dir heutzutage über eine normale Googlesuche einfangen. Bin schon auf zwei infizierte Seiten mit Topranking bei Google gestoßen. Oft sind Werbeeinblendungen von normalen Seiten infiziert.

Xaver · 06.02.2012, 20:39

Kaum zu glauben!..

Das Prog. hat keine Threats gefunden!

Hier die Logfile:

File-Upload.net - TDSSKiller.2.7.9.0_06.02.2012_20.36.00_log.txt

06.02.2012, 17:25	#1 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Gema / "Virus" - Trojaner (Bekomme ihn nicht los) Hallo liebes Forum, ich hatte vor einiger Zeit einen ziemlichen schlimmen Virenbefall, musste deshalb neu aufsetzen usw. Damals dachte ich, ich hätte daraus gelernt, und (bitte schlagt mich jetzt nicht) keinen Virenscanner bzw. Firewall etc. installiert, da ich meinen Laptop auf das Ultimo an Geschwindigkeit tunen wollte. Es hat auch immer gut geklappt, da ich mich von komischen Seiten vergehalten habe. (Immer das übliche : web.de, facebook.de, diverse Foren) Jetzt ist es mir leider passiert, dass ich mir letzte Woche diesen "Gema-Trojaner" eingefangen habe, dass eben mein PC gesperrt worden wäre und ich bezahlen müsse. Habe dann im Inet recherchiert, und manche sagten, es wäre ein sehr billiger Virus, d.h. einfach nur Systemwiederherstellung. Gesagt, getan! Lief danach wieder ganz normal. Seitdem könnte ich schwören, dass ich mir auf KEINEN FALL etwas neues geholt habe. Dennoch kam dann vor 2-3 Tagen erneut die Sperrung, diesmal aber mit der Nachricht ich bräuchte ein kostenpflichtiges Antiviren-Update. Also habe ich im Abgesicherten Modus gestartet, und Malwarebytes durchlaufen lassen. Es hat 4 Sachen gefunden, gelöscht. Dann hab ich einen neuen Wiederherstellungspunkt gemacht, und die alten allesamt gelöscht. Heute dann die Ernüchterung: Aus heiterem Himmel wieder die "Sperrung". Ich habe dann wieder im Abgs. Modus Malwarebytes laufen lassen, wieder die selben 4 Viren gefunden und gelöscht, um überhaupt wieder Zugang zum Rechner zu bekommen. Hier die Logfile dazu: Malwarebytes Anti-Malware (Test) 1.60.1.1000 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.02.05.01 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus) Internet Explorer 8.0.6001.19170 Xaver :: NOTEBOOK [Administrator] Schutz: Deaktiviert 06.02.2012 16:46:19 mbam-log-2012-02-06 (16-46-19).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher \| Autostart \| Registrierung \| Dateisystem \| Heuristiks/Extra \| HeuristiKs/Shuriken \| PUP \| PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 176904 Laufzeit: 4 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Xaver\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Users\Xaver\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\System32\winB6D2.tmp (FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Xaver\AppData\Local\temp\ms0cfg32.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Hab jetzt mal die Systemwiederherstellung vorübergehend ausgeschaltet, damit es keine Punkte mehr gibt, in denen sich der Virus verstecken kann? (Ist das richtig?) Außerdem hier noch die HiackThis-Logfile (nach der Reinigung) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:24:27, on 06.02.2012 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.19170) Boot mode: Normal Running processes: C:\windows\system32\taskeng.exe C:\windows\system32\Dwm.exe C:\windows\Explorer.EXE C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HP \| MSN R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = .local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Program Files\ActivIdentity\ActivClient\accoca.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\windows\system32\AEADISRV.EXE O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\windows\system32\Hpservice.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\windows\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\windows\System32\TUProgSt.exe -- End of file - 4354 bytes Ich verspreche, dass ich von nun an Schutzmaßnahmen ergreifen werde, alle die ihr wollt, und ich schäme mich, gedacht zu haben ich wäre schlauer als die anderen, aber bitte helft mir einfach nur diesen S** hier loszubekommen. Lg, Xaver

06.02.2012, 17:36	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Das hier tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 19:14	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Rechner nicht herunterfahren! __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 19:25	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Da läuft scheinbar ein RootKit bei dir. Mache folgendes: Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 20:18	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Rechner neu starten. Wir holen und das LOG zur Not woanders weg. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 19:13	#3 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Hey, danke für deine Hilfe. Hier die Textdateien: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt Danke nochmal und Lg, Xaver

06.02.2012, 19:15	#5 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Huch! Das klingt aber nicht gut ...

06.02.2012, 20:14	#7 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Hallo, habe Combfix ausgeführt.(Schreibe von anderem PC aus) Jetzt habe ich das Problem, dass ich nichts mehr öffnen kann. Absolut gar nichts. Es kommt immer die Meldung: Es wurde versucht, ein Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde. Deswegen kann ich auch die Logfile nicht posten! Aber beim Überfliegen erinnere ich mich ungefährt an: SVChost war infiziert und wurde desinfiziert. Explorer.exe ist infiziert. Mehr weiß ich leider nicht. Lg, Xaver

06.02.2012, 20:19	#9 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Melde dich danach mal, ob die Kiste wieder zu bedienen ist. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 20:22	#10 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Jep, es geht wieder. Hier der ComboFix Log: File-Upload.net - ComboFix.txt Lg, xaver

06.02.2012, 20:24	#11 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Machst du Onlinebanking oder Einkäufe mit dem Ding? Sieht gar nicht gut aus... __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

06.02.2012, 20:30	#12 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Online-Banking nein, Einkäufe schon. Aber seitdem der Befall da ist bzw. sich bemerkbar gemacht hat (letzte Woche) hab ich nix gekauft. Wobei ich mir ziemlich sicher bin, dass ich zuvor keinen Virus drauf hatte, da ich wirklich nie Seiten besucht hatte, die sowas verbreiten würden. Letzte Woche einmal und das kommt dann dabei raus..

06.02.2012, 20:33	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Du hast einiges an Malware drauf unter anderem ein TDSS Rootkit: Neue Bedrohung durch TDSS/TDL: Neues Botnetz mit über 4,5 Millionen infizierten Rechnern - datensicherheit.de Informationen zu Datenschutz und Datensicherheit Das tun: Download : *TDSSKiller.zip* Lade die *TDSSKiller.zip* herunter und entpacken sie auf dem Desktop. Starte die Datei TDSSKiller.exe Klicke auf Change parameters Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system Klick auf OK und anschließend auf Start scan Warte bis zum Ende der Untersuchung . Sollten Threats gefunden werden so wähle Skip aus. Bestätige unten Links mit Continue Schließe das Fenster vom TDSSKiller Navigiere nun zu C: Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (06.02.2012 um 21:02 Uhr)

06.02.2012, 20:39	#15 (Direktlink)
Xaver Ist öfter hier Registriert seit: 10.01.2009 Beiträge: 87	Kaum zu glauben!.. Das Prog. hat keine Threats gefunden! Hier die Logfile: File-Upload.net - TDSSKiller.2.7.9.0_06.02.2012_20.36.00_log.txt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Windows XP-64 bit] PC sendet E-Mails "My Plight", bekomme keine Emails mehr	-Tina-	Viren-Forum	9	10.01.2011 15:02
Wie bekomme ich das "index.html?" aus meinen Links	anneliese	Homepagegestaltung	2	18.01.2007 20:06
bekomme starteintrag "SIERRA" nicht mehr gelöscht	Chrk	Windows XP	11	07.10.2005 14:48
Woher bekomme ich das Theme "Media Center Style"?	Biertrinker	Windows XP	4	05.06.2005 11:43