Wurm für Windows Live Messenger

A

ACDoyle

Mitglied
Hmmm, joa, ich war eben überrascht, als mir das Programm sagte, dass die Wiederherstellungskonsole nicht vorhanden sei und runtergeladen werden müsse ^^

Joa, dazu die Logfile...

Mal sehen, was du daraus abliest...

MfG AC ^^
 

Anhänge

  • ComboFix.txt
    14 KB · Aufrufe: 4
Larusso

Larusso

Stammgast
[size=+1]Schritt 1[/size]

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


[size=+1]Schritt 2[/size]

FixPolicies

Lade das selbstentpackendes Archiv FixPolicies auf Deinen Desktop herunter:
  • Doppelklicke die FixPolicies.exe.
  • Klicke unten auf den "Install" Button.
  • Auf dem Desktop wird ein Ordner namens FixPolicies erstellt.
  • Öffne den Ordner durch Doppelklick und doppelklicke die Datei: Fix_Policies.cmd.
  • Es öffnet sich ein DOS-Fenster und die Richtlinien werden repariert. Das DOS-Fenster schließt sich automatisch.
  • Wenn die Richtlinien durch Malware erneut geändert werden sollte, kann das Tool auch mehrmals laufen, bis die Malware entfernt wurde.


[size=+1]Schritt 3[/size]

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.
  • Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
    Danach wieder anstellen nicht vergessen!
  • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
Anwendung
  1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
    Code: 
    Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Microsoft Update"=-
MBR::
  2. Speichere dies als CFScript.txt auf Deinem Desktop
    .
    CFScriptB.gif

    .
  3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


[size=+1]Schritt 4[/size]

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    customFix.png
    Textbox.
Code: 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT


Bitte poste in Deiner nächsten Antwort
Log von Combofix
OTL.txt
 
A

ACDoyle

Mitglied
Moah, ich kann die OTL-Datei nicht hochladen, wegen des Upload-Limits -.-

Was sol ioch machen?

MfG AC
 

Anhänge

  • ComboFix.txt
    14,4 KB · Aufrufe: 1
Larusso

Larusso

Stammgast
Lade die Logfile bitte als Anhang oder bei File-Upload hoch.
Zum Vergrößern anklicken....

Bitte noch folgendes.

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

  • Downloade die MBR.exe von Gmer und
  • speichere es auf Deinem Desktop.
  • Mache einen Doppelklick auf das Programm, um es zu starten.
  • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
  • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
  • Poste mir den Inhalt dieser Logdatei hier in den Thread.
 
Larusso

Larusso

Stammgast
Seltsam -.-

Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    Shadow SSDT
    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.
 
A

ACDoyle

Mitglied
Joa, alle Anweisungen befolgt. Programm will immer noch nicht...

Aber das andere dafür. Kannst du mir einen Zwischenstand geben, was nun los ist?

Auf jeden Fall wird der Live Messenger nicht mehr gestartet. ISt schon mal was^^
 

Anhänge

  • RootRepeal.txt
    22,1 KB · Aufrufe: 2
Zuletzt bearbeitet:
Larusso

Larusso

Stammgast
Vorerst sieht alles gut aus. Wie läuft der Rechner ? Noch Probleme.

[size=+1]Schritt 1[/size]

Deinstalliere bitte Clean Virus MSN

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


[size=+1]Schritt 2[/size]

Windows + R- Taste drücken. Kopiere folgenden Text in die Kommandozeile und bestätige mit Y ( für ja )
Code: 
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}"


[size=+1]Schritt 3[/size]

Sofern das vorhandene Malwarebytes' Anti-Malware nicht von einem der folgenden Downloadspiegel stammt, deinstalliere das Vorhandene und lade es neu herunter:

  • Anwendbar auf Windows 2000, XP und Vista.
  • Installiere das Programm in den vorgegebenen Pfad.
  • Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
  • Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
  • Aktiviere "Komplett Scan durchführen" => Scan.
  • Wähle alle verfügbaren Laufwerke aus und starte den Scan.
  • Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
  • Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
  • Berichte, wie der Rechner nun läuft.
Hier findest Du eine ausführliche und bebilderte Anleitung.


[size=+1]Schritt 4[/size]

  • ESET Online Scanner
    • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Dein Anti-Virus-Programm während des Scans deaktivieren.
    • Button "ESET Online Scanner" drücken.
    • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
    • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
    • Einen Haken bei "Remove found threads" und "Scan archives" machen.
    • Start drücken.
    • Signaturen werden heruntergeladen.
    • Der Scan beginnt automatisch.
    • Finish drücken.
    • Browser schließen.
    • Explorer öffnen.
    • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
    • Logfile hier posten.
    • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
    • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
    • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
    • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)


[size=+1]Schritt 5[/size]

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    customFix.png
    Textbox.
Code: 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT


Bitte poste in Deiner nächsten Antwort
Log von Malwarebytes
Log von ESET
Log von OTL
 
A

ACDoyle

Mitglied
http://www.file-upload.net/download-2228382/OTL.Txt.html

So, nach stundenlangen Tests den ganzen Tag lang, läuft der Rechner wieder toll. Auch wenn jetzt einige Sachen einfach mal gegen meinen Willen "in Ordnung" gebracht wurden.

Bei dem Malwarebytesprogramm wurden noch mehr Files gefunden, die ich nicht entfernen ließ. Nicht wundern. Es erkannte Grafikdemos als potentielle Malware an.

Ich hätte nun gern mal einen Zwischenstand.

MfG AC
 

Anhänge

  • log.txt
    1,2 KB · Aufrufe: 4
  • mbam-log-2010-02-04 (19-28-18).txt
    2,1 KB · Aufrufe: 4
Larusso

Larusso

Stammgast
Kein Support möglich

Code: 
F:\Adobe\Adobe CS3 Master Collection (G)\CYGiSO\Keygen.EXE (Trojan.Agent) -> Not selected for removal.

Die Nutzung von Cracks, Keygens und Patchs, die das Ziel haben, Bezahlsoftware ohne Bezahlung nutzbar zu machen, ist illegal und ich werde dies keinesfalls unterstützen.

Dass Cracks und Keygens im Wesentlichen dazu dienen, um auf den Computern Malware unterzubringen, ist kein Geheimnis.

Da bleibt mir nichts weiter, als Dir zu empfehlen, in Zukunft auf derlei Software zu verzichten. Mit solcher Software endet der Support und beschränkt sich auf den Hinweis, das System neu zu installieren.

Würdest Du gratis arbeiten gehen? -.-
Ich bin raus.
 
A

ACDoyle

Mitglied
Danke für deine Hilfe erstmal.

Den Ordner habe ich so von einem Freund bekommen. Ich wusste ja nun, dass diese Datei kein Schädling ist. Werde diese aber umgehend entfernen.

Was die Frage des kostenlos Arbeitens und der Notwendigkeit, gewisse Programme zu nutzen und einfach das Geld dafür nicht zu haben, ist, ist eine moralische, die ich mir selbst nicht klar beantworten kann und will. Ich würde mir gern diverse Programme kaufen, wenn ich sie mir leisten könnte.
Ich respektiere deine Einstellung.

Wie gesagt, ich kann mich nur nochmal für deine Hilfe bedanken.

MfG AC

Edit:

Ich habe auch soeben den gesamten Ordner gelöscht. Mit einigen Dateien dort gibts Probleme.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben