[Windows 7-64 bit] Virus? - Paules-PC-Forum.de

07.02.2012, 20:58

Hallo, ich bin durch die google-Suche auf Euch aufmerksam geworden. Ich habe das Problem, dass ich seit 3 Tagen immer wenn ich bei google Seiten aufrufen will auf Werbeseiten komme oder auf eine leere Seite mit die thealltimes.com
Jetzt stellt sich auch immer der Windows Sicherheitscenter-Dienst aus.
Könnt ihr mir helfen?

Ich habe Eure Anleitung gelesen und probiere mal die ganzen Sachen hier zu posten. Ich habe leider nicht die riesen Ahnung ...

Ich werd jetzt mal RSIT durchlaufen lassen.

Wäre super wenn ihr mir helfen könnt!

Vielen Dank schon mal!
Ina

07.02.2012, 21:13

File-Upload.net - log.txt
File-Upload.net - info.txt

vielen Dank

Ken · 07.02.2012, 21:15

Also das ist ja echt ungewöhnlich das sich bei der Google suche irgentwelche
"Werbe" Seiten öffnen (falls ich das richitg verstanden hab). Was meinst du
den mit "RSIT" durchlaufen lassen. Das Windows Sicherheits Center ist
sowieso für den Ar***. Hast du den irgentetwas drauf was auch das Wort
"Sicherheit" im Namen verdient? Also an deiner Stelle würd ich mir ein
vernüpftiges Virenprogramm draufpacken und das ganze System dann
durchsuchen lassen. Ob es sich lohnt das System komplett neu aufzusetzten
ist auch eine Frage. Aber mit den Infos halt schwierig zu beantworten.

07.02.2012, 21:27

RSIT ist hier in der "Anleitung zum Löschen von Vieren / Thread erstellen" angegeben.
Ich dachte ich mach das alles mal, so wie es angegeben ist, da ich selber keien Ahnung habe.
Ich habe avira auf den Rechner.

**Wuotan** · 07.02.2012, 21:47

@Ken: Bitte lese dir dies einmal durch Auswertung durch das Malware-Team! und halte dich bitte daran.

07.02.2012, 23:07

so und hier die Links zu den Malwarebytes-Dateien

File-Upload.net - mbam-log-2012-02-07--21-02-04-.txt
File-Upload.net - protection-log-2012-02-07.txt

vielen Dank
Ina

**AHT** · 07.02.2012, 23:37

Malwarebefall. Kein Onlinebanking durchführen, keine Einkäufe tätigen.
Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Es kümmert sich morgen einer um dich.

08.02.2012, 15:26

File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - Modules.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt
File-Upload.net - Warnings.txt

**AHT** · 08.02.2012, 16:19

Kann etwas dauern, melde mich.

**AHT** · 08.02.2012, 17:19

Da scheint ein RootKit bei dir zu laufen...
Folgendes tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_Sicherung
COPY_FILE->C:\Windows\Tasks\Ntsivu.job>C:\PPF_Sicherung\Ntsivu.vir
MOVE_FILE_ON_REBOOT->C:\Windows\Tasks\Ntsivu.job>C:\PPF_Sicherung\Ntsivu.vir2
SEND_MESSAGE->92.252.90.226
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.90.226
->81
->C:\Windows\Tasks\Ntsivu.job
SLEEP->240000
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

**AHT** · 08.02.2012, 17:29

OK, hat geklappt. Einmal Rechner herunterfahren und neu starten. Melden, ob irgendwelche Probleme auftreten - danach geht's weiter.

**AHT** · 08.02.2012, 17:40

Nach dem Reboot im PPFScanner das Script ausführen:

Code:

SEND_MESSAGE->92.252.90.226
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.90.226
->81
->C:\Windows\SysWOW64\muzapp.exe
SLEEP->240000
END->

**AHT** · 08.02.2012, 17:47

Jetzt das Script ausführen:

Code:

SEND_MESSAGE->92.252.90.226
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.90.226
->81
->C:\Windows\SysWOW64\netutils5.dll
SLEEP->240000
END->

08.02.2012, 17:49

Ok, hab alles gemacht, auch das zweite Skript.

**AHT** · 08.02.2012, 17:57

Die Datei hat sich speziell geschützt.
Das hier Script ausführen, danach wieder melden:

Code:

 
FILE_ACES->C:\Windows\SysWOW64\netutils5.dll
->Jeder
->0+
->GENERIC_ALL
FILE_ACES->C:\Windows\SysWOW64\netutils5.dll
->@
->+
->GENERIC_ALL
FILE_ACES->C:\Windows\SysWOW64\netutils5.dll
->System
->+
->GENERIC_ALL
FILE_ACES->C:\Windows\SysWOW64\netutils5.dll
->Administratoren
->+
->GENERIC_ALL
SEND_MESSAGE->92.252.90.226
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.90.226
->81
->C:\Windows\SysWOW64\netutils5.dll
SLEEP->240000
END->

07.02.2012, 20:58	#1 (Direktlink)
Unregistriert Gast Beiträge: n/a	Virus? Hallo, ich bin durch die google-Suche auf Euch aufmerksam geworden. Ich habe das Problem, dass ich seit 3 Tagen immer wenn ich bei google Seiten aufrufen will auf Werbeseiten komme oder auf eine leere Seite mit die thealltimes.com Jetzt stellt sich auch immer der Windows Sicherheitscenter-Dienst aus. Könnt ihr mir helfen? Ich habe Eure Anleitung gelesen und probiere mal die ganzen Sachen hier zu posten. Ich habe leider nicht die riesen Ahnung ... Ich werd jetzt mal RSIT durchlaufen lassen. Wäre super wenn ihr mir helfen könnt! Vielen Dank schon mal! Ina

07.02.2012, 21:13	#2 (Direktlink)
Unregistriert Gast Beiträge: n/a	Links von RSIT File-Upload.net - log.txt File-Upload.net - info.txt vielen Dank

07.02.2012, 21:15	#3 (Direktlink)
Ken Erfolgreich angemeldet Registriert seit: 28.07.2011 Beiträge: 20	Also das ist ja echt ungewöhnlich das sich bei der Google suche irgentwelche "Werbe" Seiten öffnen (falls ich das richitg verstanden hab). Was meinst du den mit "RSIT" durchlaufen lassen. Das Windows Sicherheits Center ist sowieso für den Ar***. Hast du den irgentetwas drauf was auch das Wort "Sicherheit" im Namen verdient? Also an deiner Stelle würd ich mir ein vernüpftiges Virenprogramm draufpacken und das ganze System dann durchsuchen lassen. Ob es sich lohnt das System komplett neu aufzusetzten ist auch eine Frage. Aber mit den Infos halt schwierig zu beantworten. __________________ Darf ich noch kurz etwas unsachliches hinzufügen - blablalalalalalaa.

07.02.2012, 21:47	#5 (Direktlink)
Wuotan Super-Moderator Registriert seit: 04.05.2007 Ort: Wuppertal Alter: 51 Beiträge: 3.696	@Ken: Bitte lese dir dies einmal durch Auswertung durch das Malware-Team! und halte dich bitte daran. __________________ MfG Wuotan Viel weiß der Weise, sieht weit voraus. Der Welt Untergang, der Asen Fall. (Edda) Meine Bildergalerie

07.02.2012, 23:07	#6 (Direktlink)
Unregistriert Gast Beiträge: n/a	Malwarebytes Report so und hier die Links zu den Malwarebytes-Dateien File-Upload.net - mbam-log-2012-02-07--21-02-04-.txt File-Upload.net - protection-log-2012-02-07.txt vielen Dank Ina

07.02.2012, 21:27	#4 (Direktlink)
Unregistriert Gast Beiträge: n/a	RSIT ist hier in der "Anleitung zum Löschen von Vieren / Thread erstellen" angegeben. Ich dachte ich mach das alles mal, so wie es angegeben ist, da ich selber keien Ahnung habe. Ich habe avira auf den Rechner.

07.02.2012, 23:37	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Malwarebefall. Kein Onlinebanking durchführen, keine Einkäufe tätigen. Das tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Es kümmert sich morgen einer um dich. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 15:26	#8 (Direktlink)
Unregistriert Gast Beiträge: n/a	Die Links File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt

08.02.2012, 16:19	#9 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Kann etwas dauern, melde mich. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 17:19	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Da scheint ein RootKit bei dir zu laufen... Folgendes tun: PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPF_Sicherung COPY_FILE->C:\Windows\Tasks\Ntsivu.job>C:\PPF_Sicherung\Ntsivu.vir MOVE_FILE_ON_REBOOT->C:\Windows\Tasks\Ntsivu.job>C:\PPF_Sicherung\Ntsivu.vir2 SEND_MESSAGE->92.252.90.226 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->92.252.90.226 ->81 ->C:\Windows\Tasks\Ntsivu.job SLEEP->240000 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff. Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 17:29	#11 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	OK, hat geklappt. Einmal Rechner herunterfahren und neu starten. Melden, ob irgendwelche Probleme auftreten - danach geht's weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 17:40	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Nach dem Reboot im PPFScanner das Script ausführen: Code: SEND_MESSAGE->92.252.90.226 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->92.252.90.226 ->81 ->C:\Windows\SysWOW64\muzapp.exe SLEEP->240000 END-> __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 17:47	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Jetzt das Script ausführen: Code: SEND_MESSAGE->92.252.90.226 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->92.252.90.226 ->81 ->C:\Windows\SysWOW64\netutils5.dll SLEEP->240000 END-> __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.02.2012, 17:49	#14 (Direktlink)
Unregistriert Gast Beiträge: n/a	Ok, hab alles gemacht, auch das zweite Skript.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Sonstiges] Virus -.-	Ängstlicher1	Viren-Forum	12	18.01.2011 18:08
virus	alimati	Viren-Forum	18	29.04.2009 12:23
Virus?	holy	Viren-Forum	6	12.11.2007 07:47
Virus...=/	Kaddy	Viren-Forum	0	16.12.2006 13:19
Virus	Muck	Windows XP	5	11.09.2005 18:02