[VIRUS] win 7 home security

[Oli28]

Hallo Zusammen..

Habe mir soeben den Virus "win 7 home security" eingefangen. Dies ist so ein Fake Antivirusprogramm.

Das hab ich inzwischen mit dem "Emsisoft HiJackFree" rausbekommen jedoch kann ich jetzt keine .exe's mehr öffnen.. Da kommt immer die Meldung "Öffnen mit, bitte wählen Sie das Programm aus, das Sie zum Öffnen....."

Zuerst dachte ich es kommt nur beim Opera, nachdem ich den deinstalliert habe merke ich aber, dass es bei jeder exe kommt, auch beim CCleaner, beim IE einfach bei allem :(

Ist das irgendwo eine Einstellung welche das Ding mir geändert hat?

Danke für Eure Hilfe!
Oli

/edit: auch im Systemtray sind viele viele Icons verschwunden.. ich könnte kotzen..

/edit2: jetzt hab ich eine Anleitung aber kann regedit nicht mehr öffnen - ich verzweifle noch..
http://www.2-spyware.com/remove-antivirus-vista-2010.html

/edit3: ich hatte wenig Vertrauen in die Automatischereparatur von Win7 - aber sie hats geschaft :) Sorry für den Thread ich hoffe er kann jemand anderem weiterhelfen!

 

[Swisstreasure]

Hi

Ich denke das wir trotzdem noch einen Blick auf das System werfen sollten.

[size=+1]Schritt 1[/size]

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

[size=+1]Schritt 2[/size]

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  
  Textbox.

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

 

[Oli28]

Abend!

Ja gerne, mal sehen ob das alles da rein passt. Das forum schreit gerade was von max 15k Zeichen :)

Das Malwarebytes hat auch noch zwei Kriechtiere gefunden.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6012

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10.03.2011 19:16:23
mbam-log-2011-03-10 (19-16-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166738
Laufzeit: 1 Minute, 34 Sekunde

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\g043oqxanu (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

 

[Oli28]

Nö passt auch nicht in den 2ten Post - immer noch 35k zeichen zu viel :)

 

[Swisstreasure]

Was kannst Du mir dazu sagen:

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com

 

[Swisstreasure]

Nach Absprache per Email:

[SIZE=+1]Schritt 1[/SIZE]

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und Remove Sun Download Manager.
  [*]Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
  [*]Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
  [*]Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
  [*]Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
  [*]Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
  [*]Rechner neu starten.
  

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 25) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

[SIZE=+1]Schritt 2[/SIZE]

Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  
  Textbox.

:OTL
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} [URL]http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab[/URL] (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} [URL]http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab[/URL] (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [URL]http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab[/URL] (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [URL]http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab[/URL] (Java Plug-in 1.6.0_20)
O33 - MountPoints2\{35d7f59e-f6b5-11de-9be6-e0cb4e0e6de3}\Shell - "" = AutoRun
O33 - MountPoints2\{35d7f59e-f6b5-11de-9be6-e0cb4e0e6de3}\Shell\AutoRun\command - "" = :\Autorun.exe
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell - "" = AutoRun
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\adobe\command - "" = goodies\ar405eng.exe
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\AutoRun\command - "" = G:\aocsetup.exe /autorun
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\log\command - "" = G:\goodies\machine\machine.exe -l
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\machine\command - "" = G:\goodies\machine\machine.exe
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\setup\command - "" = G:\aocsetup.exe /autorun
O33 - MountPoints2\{677c5ffb-f66a-11de-9431-e0cb4e0e6de3}\Shell\zone\command - "" = G:\goodies\mszone\zonea660.exe
:Commands
[purity]
[resethosts]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

[SIZE=+1]Schritt 3[/SIZE]

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  

  :dir
  C:\ProgramData\1472880313 /s
  %programfiles% /n*crack*

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.