Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Antivir Safeguard - nichts geht mehr!

Hallo,

gestern Abend hatte ich plötzlich beim Surfen eine "Microsoft Security Essentials Alert" Fehlermeldung, woraufhin ich Antispy Safeguard - einen Trojaner - installiert habe.

Beim Hochfahren war dann nur noch dieses Programm zu sehen. Alles andere war blockiert.

Inzwischen habe ich das Programm manuell gelöscht und im abgesicherten Modus kann ich per Netzwerkkabel auch wieder ins Internet. Aber sämtliche Programme sind nach wie vor blockiert, d.h. ich fahre den Rechner hoch und sehe nur den Desktophintergrund und muss den Computer über den Taskmanager bedienen.

Ich habe den CCleaner mehrfach laufen lassen und auch die Autostart-Datei (jeden einzelnen Prozess) überprüft. Ich habe Malwarebytes' Anti-Malware komplett durchlaufen lassen (2 Funde, die repariert wurden. Anschließend habe ich Hijack-This heruntergeladen, laufen lassen und den log analysieren lassen - keine Funde. Und jetzt habe ich noch den Spyhunter heruntergeladen, aber er lässt sich nicht installieren.

Ich weiß nicht, was ich noch tun soll!

Ich habe die Windows XP Home Media Center Edition. Es gibt dazu auch eine Recovery-CD, aber meine Installations-Cds habe ich seit 3 Jahren nicht gebraucht, bin in der Zeit 2 Mal umgezogen und finde meine CD-Box nicht mehr.

Über schnelle Hilfe wäre ich mehr als dankbar. Eigentlich schreibe ich nämlich gerade an meiner Diplomarbeit (Daten sind alle gesichert).

 



Antworten zu Antivir Safeguard - nichts geht mehr!:

PS: Ich habe natürlich im Internet nach Anleitungen gesucht, den Trojaner manuell zu entfernen.

z.B. hiermit:
http://www.trojaner-board.de/89781-microsoft-security-essentials-alert-entfernen.html

Problem: Die angegebenen Dateien befinden sich nicht auf meinem Rechner.
Die Registry-EInträge konnte ich auch nicht finden.
 

Mach für weitere Analysen erstmal einen Vollscan mit Malwarebytes. Denk dran, dass dieses Tool vor jedem Scan auch manuell aktualisiert werden muss!!

Erstell danach Logfiles mit OTL und poste sie. Am besten zipps Du alle Logs in eine Datei und lädst sie bei http://www.file-upload.net hoch und verlinkst das ganze hier.

Eine Anleitung zu Malwarebytes und OTL findest Du notfalls auch im TB:

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.trojaner-board.de/85104-otl-otlogfile-oldtimer.html

Danke - beide Programme scannen jetzt - das hat vorhin bei Malwarebytes über eine Stunde gedauert.

Vielen Dank schonmal und bis später!

So. Ich bin nun wie folgt vorgegangen:

Ich habe erst das Update von Malwarebytes Anti-Malware gemacht und dann den kompletten Scan laufen lassen: 8 Funde. Diese wurden entfernt.

Log hier: *entfernt*

Dann habe ich den Computer nach Aufforderung neu gestartet (im abgesicherten Modus).

Anschließend habe ich OTL laufen lassen (nach Anleitung) und es kamen zwei Log-Files heraus:
OTL.txt: *entfernt*

Extras.txt: *entfernt*

Ich hoffe, das bringt Aufschluss!

Vielen Dank schonmal im Voraus!

PS: Sorry, an Winzip komme ich gerade nicht heran...  

« Letzte Änderung: 14.09.10, 22:35:49 von Anica »

Niemand?  :(

So Anica, deinstallier erstmal diesen ZoneAlarm-Unsinn und aktivier die Windows-Firewall. ZoneAlarm ist übelstes Schlangenöl...

Wenn es deinstalliert ist, musst Du Windows wohl neu starten. Mach das. Beende dann im neugestarteten Windows nach Möglichkeit alle etwaigen offenen Programme (sofern welche automatisch oder manuell gestartet wurden), starte OTL erneut und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell - "" = AutoRun
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a0-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a5-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a6-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a7-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a8-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
[2010.09.13 22:56:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.09.14 13:20:26 | 000,841,728 | ---- | M] () -- C:\WINDOWS\System32\drivers\kubzg.sys
[2010.09.14 11:53:57 | 000,071,170 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BJpc8Rfm.exe
[2010.09.14 11:53:57 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8vii51PH.dat
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo,

ich habe ZoneAlarm nicht installiert. Noch nie!
Mein Rechner läuft mit aktivierter Windows-Firewall und Avira Antivir.

Da ich momentan ja keinen Desktop habe, sondern den Rechner nur über den Taskmanager steuern kann, habe ich im CCleaner nochmal nachgeschaut. Auch dort kann ich bei den installierten Programmen kein ZoneAlarm finden.

Ob die Windows-Firewall derzeit aktiviert ist, kann ich nicht sagen. Aber ich habe Antivir bereits upgedatet und 2 Mal laufen gelassen. Da ist auch einiges gefunden worden, aber beim Neustart zeigt sich trotzdem nur der Desktop-Hintergrund. :(

Zitat von: Ava-Tar  date=1284480445
kannst Du im T-M nicht die explorer.exe starten ?

Sie ist mir jetzt noch nicht über den Weg gelaufen... :'(

Also.

Ich habe neugestartet, OTL gestartet und den Code eingefügt und auf "Fix" geklickt. Der PC startet dann direkt neu und erstellt auch keinen neuen Log-File.

Dafür wurde Antivir inzwischen upgedatet und ich bekomme nun ständig eine Fehlermeldung der Datei
C:/Windows/system/winlogon.exe
-> Trojanisches Pferd TR/Dldr.Small.auhg

Zitat von: Ava-Tar  date=1284480706
im TM : Anwendungen,  , unten : Neuer Task .
explorer.exe   << eintippen , OK 

Und vergiss den 2. MBAM nicht !!

Ansonsten ... weiter mit Cosinus  

Ok. Dann jetzt MBAM nochmal!

Dann war aber ein Überrest von ZA drauf. Sei es drum.

 

Zitat
C:/Windows/system/winlogon.exe

Bist Du sicher das der Pfad stimmt?
Schau mal bitte in den Ordner "C:\_OTL" rein, wenn eine Textdatei liegt, die mal bitte öffnen.

Ja, der Pfad stimmt. Die Fehlermeldungen von Antivir kommen immer zur selben Datei, eben dieser winlogon.exe.

In "C:\_OTL" liegt keine Textdatei, aber ein Unterordner "Moved Files" und darunter zwei Ordner, die aber jeweils leer sind.
 

Ok, wenn der Pfad so ist...
Wiederhol die Prozedur mit OTL bitte nochmal. Deaktivier den Virenscanner aber bitte vorher und nimm diesmals dieses Script:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell - "" = AutoRun
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a0-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a5-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a6-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a7-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a8-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
[2010.09.13 22:56:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.09.14 13:20:26 | 000,841,728 | ---- | M] () -- C:\WINDOWS\System32\drivers\kubzg.sys
[2010.09.14 11:53:57 | 000,071,170 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BJpc8Rfm.exe
[2010.09.14 11:53:57 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8vii51PH.dat
:Files
C:\Windows\system\winlogon.exe
:Commands
[purity]
[resethosts]
[emptytemp]

Soll ich sonst die Standardeinstellungen von OTL verwenden? (Also so, wie ich das Programm öffne?)


« HijackThis Log bei Windows 7Adobe-zieht-Flash-Update-vor auf 20.9.2010 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Microsoft Office
MS Office ist ein Software-Paket des amerikanischen Unternehmens Microsoft für die Betriebssysteme Windows und Mac OS. Zu dem Paket gehören Programme wie Word, ...

Microsoft
Microsoft - oder "Microsoft Corporation", gegründet 1975 von Bill Gates und Paul Allen, ist einer der weltweit führenden Softwarehersteller. Ursprünglich f...

Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...