Win32/FakeSysdef fund - System noch Sauber?

  • Hallo,


    Schäme mich schon etwas - habe aber schon wieder ein Problem.


    Naja eigentlich sind es mehrere und ich fange mal mit dem meiner Meinung nach schlimmeren an.


    Mein Windows Essentials hat beim Surfen eine Bedrohung festgestellt - ich auf Bereinigen geklickt - nun befindet sich in der Quarantäne "Trojan:Win32/FakeSysdef" mit der Empfehlung: Entfernen Sie diese Software unverzüglich.


    Habe inzwischen Malewarebyts laufen lassen und Search und Destroy beide habe nix gefunden, kann es sein das ich noch was drauf habe?


    Und was soll ich Posten?
    Die Reports von dem Scan unmittelbar nach in Quarantäne stellen des Bösewichts - oder ganz neue erstellen?


    Mein zweites Problem ist, ich glaub ich bin nicht der Admin, oder da is noch ein verstecktes Konto (kann das sein?) wollte mir ein anderes Konto machen, um sicher zu surfen bzw die Tipps zu befolgen, bekam da aber immer so ne komische Meldung - wenden Sie sich an den System Administrator - Dachte bis dahin das ich der Admin des PC´s sei.
    Zum näheren Verständnis sollte ich wohl sagen, daß der PC ein Erbstück meines Vaters ist und am eigentlichen Windows nix verändert wurde, Betriebssys ist Xp Prof.


    Das dritte Problem, weiss nicht ob das auch hier her gehört - Ich habe das Gefühl das sich meine zweite Festplatte immer erst anschalten muss, wenn ich drauf zu greifen möchte - es dauert einen Moment, dann macht es "klack" und ich sehe die Daten/Bilder.


    So warte nun erst mal auf Anweisung - und bitte gleichzeitig um etwas Geduld - da ich mich gerade erst etwas einlese.


    Lg Jörg

  • Hallo,


    Schritt 1

    Deinstalliere Spybot S&D da es die weitere Bereinigung stört! Starte den Pc neu und fahren mit Schritt 2 fort.

    Schritt 2


    OTL

    Download: http://oldtimer.geekstogo.com/OTL.exe


    1. Doppelklick auf die OTL.exe
    2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
    3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
    4. Setze einen Haken Oben bei Scanne alle Benutzer.
    5. Unter "Extra Registrierung wähle "Benutze SafeList"
    6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
    7. Kopiere in die Textbox (ohen das Wort Code: )





    8. Klicke "Scan"
    Es werden 2 Reporte erstellt:
    OTL.Txt sowie Extras.Txt
    Bitte beide Logs Posten!

    Schritt 3


    Kaspersky TDSSKiller

    Download : TDSSKiller.zip

    • Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
    • Starte die Datei TDSSKiller.exe
    • (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
    • Warte bis zum Ende der Untersuchung und der Desinfektion.
    • Poste das Ergebnis.



    Schritt 4
    MBRCheck
    Downloade: MBRCheck

    • Speicher die MBRCheck.exe auf dem Desktop und führe sie aus.
    • User von Windows 7 und Vista: Rechtsklick als Administrator ausführen.
    • MBRCheck braucht nur wenige Sekunden.
    • Klicke im schwarzen Fenster ENTER um das Fenster zu schließen.
    • Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag.


    Schritt 5
    Frage beantworten


    War die Bereinung mit Markus schon fertig?? Ich brauch etwas Zeit um dir
    dein altes problem anzuschauen.

  • Hallo Leo,


    Danke erst mal das Du dich meiner angenommen hast.
    Ja die Sache mit dem Sefnit.L - war laut Markus erledigt.


    Werde nun die gewünschten Schritte (in der nun noch verbleibenden richtigen Reihenfolge) angehen.


    Ist es egal ob ich der Hauptadmin bin? - ok ich gehe davon aus


    Lg Jörg

  • OTL logfile created on: 26.04.2011 18:48:52 - Run 1
    OTL by OldTimer - Version 3.2.22.3 Folder = J:\Downloads
    Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.18702)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy


    3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 83,00% Memory free
    5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
    Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]


    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
    Drive C: | 74,52 Gb Total Space | 58,27 Gb Free Space | 78,20% Space Free | Partition Type: NTFS
    Drive F: | 3,70 Gb Total Space | 3,22 Gb Free Space | 87,26% Space Free | Partition Type: FAT32
    Drive J: | 76,69 Gb Total Space | 21,88 Gb Free Space | 28,53% Space Free | Partition Type: NTFS

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo,


    im OTL Log finde ich nichts auffälliges was auf aktive Malware hindeutet. Bin mir aber noch nicht zu 100% sicher da der Kopf heute nicht mit spielt.


    Es wurde auch kein TDL und kein verseuchter MBR gefunden das klingt schonmal gut.


    Kannst du bitte ALLE Logs reinreichen in den Malware gefunden wurde (von Windows Essentials)


    Außerdem führe Malwarebytes so aus.


    Schritt 1


    Malwarebytes Anti-Malware
    Download (Free Version): http://www.malwarebytes.org/products/malwarebytes_freehttp://www.malwarebytes.org/

    • Installiere das Programm in den vorgegebenen Pfad.
    • Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
    • Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
    • Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
    • Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
    • Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
    • Poste das Logfile in deinem Thread.
    • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



  • Hallo,


    Malwarebytes läuft, habe altes vorher gelöscht...


    2 Fragen


    Wo finde ich die Logs oder Berichte von Windows Essentials?
    Kann ich Search & Destroy wieder installieren?


    Lg Jörg

  • üMalwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes : Free anti-malware, anti-virus and spyware removal download


    Datenbank Version: 6451


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702


    27.04.2011 01:38:45
    mbam-log-2011-04-27 (01-38-45).txt


    Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
    Durchsuchte Objekte: 223693
    Laufzeit: 56 Minute(n), 1 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.
  • Hallo Leo,


    gib mir doch Bitte bescheid, wenn Du alles hast, damit ich das alles wieder löschen kann auf dem Server.


    Ein Bekannter der eben bei mir ist, macht mir da grad Angst , daß jeder der diese Daten hat, meinen PC manipulieren kann.


    Panikmache?


    Danke für deine Mühen


    Lg Jörg

  • Wie es aussieht, hast du wohl am 21.04. auf ein "Werbepopup" geklickt.



    Warte noch auf LEO.

  • Ich sehe hier gerade noch was:

    Code
    26.4.2011 11:28 Uhr 23s 
    Record #18338
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.
    [COLOR=red][B] Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.[/B][/COLOR]
     Ablaufdatum (UTC): 26.05.2011 09:28:23


    Das sieht für mich im Augenblick nicht so gut aus. Kannst du dazu was sagen?

  • Hallo AHT,


    das war mein Katze!!!! (als ich auf einer Seite war - auf der ich nicht hätte sein sollen - aber mal wieder nen Link geschickt bekommen habe - und meine Neugierde immer mit mir durchgeht - weil ich eigentlich dachte, die Seite sei Virenfrei, laut meines Bekannten) ;)


    ...jedenfalls hüpft meine haarige zu mir hoch auf dem Computertisch, da auf meine Hand, welche auf der Maus liegt, verschiebt diese und ......klick....dann war da auch schon die Virus Wahrnung, der Rest steht ja oben.


    Kann ich eigentlich schon die ganzen Tools wie MBRCheck, OT, DTSSkiller ppfscan (heisst das eigentlich PaulsPcForumScan?) löschen?


    Muss ich was beachten?
    Danke

  • Zitat von AHT;853358

    Ich sehe hier gerade noch was:

    Code
    26.4.2011 11:28 Uhr 23s 
    Record #18338
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.
    [COLOR=red][B] Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.[/B][/COLOR]
     Ablaufdatum (UTC): 26.05.2011 09:28:23

    Das sieht für mich im Augenblick nicht so gut aus. Kannst du dazu was sagen?


    ...ja sicher kann ich, weil ich die Prüfung immer abgebrochen habe, inzwischen bekannter Bekannter sagte mir, Das dieses Genius Tool von Windows nur spioniert (Ich seh schon, Bekannter als Berater entlassen)


    Ich habe aber die original Windows CD hier, die zum PC gehört, oder was meinst Du damit? Hab ich was geklautes drauf?


    Lg Jörg

  • Nein. Es sieht nur so aus, als ob dein Virenscanning Tool demnächst deshalb den Geist aufgiebt. Lasse die Überprüfung zu, sonst bekommst du Probleme - und das eventuell nicht nur mit dem Virentool.

  • Zitat von AHT;853367

    Nein. Es sieht nur so aus, als ob dein Virenscanning Tool demnächst deshalb den Geist aufgiebt. Lasse die Überprüfung zu, sonst bekommst du Probleme - und das eventuell nicht nur mit dem Virentool.



    Kann ich das gleich starten? und wie?


    Danke

  • Hi,


    OTL, MBRCheck und TDSS sind unauffällig.


    Wenn AHT sein OK gibt kannst du alle eingesetzen Tools löschen.
    Bei OTL gehe wie folgt vor. Starte OTL --> Klicke oben auf Bereinigung. OTL löscht sich von selbst.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!