Sehr lästiger Virus/Wurm, getarnt als AntivirenProgramm

Bli{ZZ}arD

Cadet 3rd Year
Dabei seit
Okt. 2006
Beiträge
34
Hallo zusammen

Mein PC hat sich gestern leider einen Virus/Wurm eingefangen.

Dieser tarnt sich als pseudo AntivirenProgramm, welches ungefähr alle 30 Sekunden (!) aufpoppt mit verschiedenen Meldungen, wie z.B. dass mein Computer angegriffen wird und ich das Programm kaufen solle, etc. Sehr mühsam und extrem nervend.
Das Schlimme aber ist, ich kann gar nichts dagegen tun. Praktisch alle Programme (.exe-Dateien), die ich öffnen möchte, schliesst das Programm nach 1 Sekunde wieder, und bringt eine Meldung àlà: "Das Programm "x" ist infiziert, sie müssen es erst prüfen" und dann kommt das wieder mit kaufen, etc...
Nach diesem Schema schliesst sich bspw. der Taskmanager sofort, sowie regedit, msconfig, Stinger, jegliche Antivirenprogramme, ja sogar ganz gewöhnliche Programme wie iTunes! Auch auf Internetseiten kann ich nicht mehr, da kommt wie oben dieselbe Meldung mit prüfen/kaufen, etc... :freak:
Ausserdem sendet mein Router ununterbrochen Unmengen an Dateien ins Netz.

Ich weiss nicht mehr weiter. Kann ich da noch was tun ausser einer kompletten Neuinstallation?? :(

Ich habe mal noch im abgesicherten Modus das Programm Stinger laufen lassen. Dies hat im Windows Ordner, in der Datei "Explorer.exe" einen W32-Virus gefunden und die Datei repariert. Leider hat das nichts gebracht, der Virus ist immer noch da.:mad::mad:

Danke für Eure Hilfe!
Gruss
 

Froschkönig

Lt. Commander
Dabei seit
Apr. 2010
Beiträge
1.216
um eine neuinstallation kommst du nicht drumrum. ist die einfachste und sicherste methode, es sei denn, du hättest früher mal ein systemimage erstellt.
 

Secula

Cadet 4th Year
Dabei seit
Sep. 2006
Beiträge
109
Hallo,

es macht nicht immer Sinn, sofort bei allen möglichen Gelegenheiten eine Neuinstallation zu empfehlen - das ist auf dauer keine Problemlösung!
Gegen "falsche" Antivierensoftware eignet sich Remove Fake Antivirus ganz gut.

Gruß
Secula
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
Du mußt auch nach versteckten Dateien und autoruns schauen,diese kannst du bei XP unter
Systemsteuerung-Ordneroptionen-Ansicht und dann bei folgenden die Häkchen entfernen b.z.w. setzen siehe Foto
Damit hast du eine Chance alles zu löschen was dieses Programm mit gebracht hat, schaue auch noch bei den Diensten nach ob da ein neuer Dienst vorhanden ist, dann kannst du auch noch Start-Ausführen und regedit eingeben und bei HKLM/Software/Microsoft/Windows/alle runschlüssel nachschauen
Du solltest auch mal das Microsoft Security Essentials installieren und suchen lassen, hat bei mir schlimme Trojaner und Malware gefunden was Avira nicht erkannt hat.Hoffe ich konnte helfen
 

Anhänge

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
Wenn du schon im Abgesicherten Modus warst, dann versuche doch dieses Programm auch von dort zu löschen, melde dich im AM aber nicht mit deinem Namen an sondern als Administrator an, schau im Takmanager nach verdächtichten Prozessen oder dll und schreibe sie auf, ist besser für die Suche.
Wenn du weist, wann du das Programm installiert hast, dann kannst du auch alle Dateien suchen lassen die an diesem Tag installiert oder in Benutzung waren.
Um die von dir aufgespürten dll oder exe zu finden empfehle ich dir das Programm
Search Everything, damit findest du alles. Hab ich noch was vergessen?

1.Leitung kappen
2.Microsoft Security Essentials komplett durch laufen lassen
der Rest steht oben ein wenig durch einander




Da ist sein Antivierenprogramm runter aber nicht sein virus wenn ich das auf dieser Seite richtig gelesen habe?
 
Zuletzt bearbeitet:

Froschkönig

Lt. Commander
Dabei seit
Apr. 2010
Beiträge
1.216
du vertrödelst nur unnötig zeit. neuinstallation (systempartition löschen, neu anlegen und formatieren) und gut is...
 

Bli{ZZ}arD

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
34
Teilerfolg!

Im AM konnte ich leider nicht viel machen. Nun hab ich wieder neu gebootet, und noch bevor dieses sch... Ding gestartet werden konnte (da sind ganz wenige Sekunden Zeit), hab ich RKill laufen lassen und prompt wurden 4 Prozesse gekillt und der Virus ist nicht gestartet und ist momentan nicht da!

Nun, ich nehme an dass RKill nur Prozesse killt, aber die Malware selber nicht entfernt..? Wie kann/soll ich jetzt vorgehen, dass beim nächsten Neustart der Virus nicht schon wieder erscheint? Programme kann ich momentan alle wieder öffnen!
(Der Report von RKill hat sich leider automatisch wieder geschlossen, d.h. ich sehe die Prozesse, welcher er gekillt hat, leider nicht mehr. :( )

Danke, Gruss
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
Mal lesen was ich geschrieben habe
 

Bli{ZZ}arD

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
34
Das hab ich natürlich schon gemacht ;) :)

Also ich habe einfach so ziemlich alle Programme mal laufen lassen, die Malware finden/entfernen können. Ad-Aware hat noch zwei W32 Würmer gefunden und soweit ausser Gefecht gesetzt... Ich starte mal neu...
Ergänzung ()

Also, jetzt nach dem Neustart scheint es so, dass der Virus weg ist. Das sogenannte "Antivirenprogramm" startet nicht mehr. :)

fischi der Tipp mit Microsoft Security Essentials war Gold wert. Seit dem Neustart hat er schon 5 so "TrojanWin32" gemeldet und entfernt.
Wo der Virus war? Die meisten Dateien, welche gelöscht wurden, befanden sich in C:\Dokumente und Einstellungen, meistens so "Buchstabensalat .exe Dateien".

Vielen Dank für Eure Hilfe, es scheint als hätten wir den Virus besiegt! Gruss
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
Gern geschehen!
Noch ein Tipp, lass die versteckten Dateien offen, so kannst du auch im sys32 ordner die unholte finden und löschen, achte immer auf die Prozesse und Programme im Taskmanager,auch das kann dich schon weiter bringen und benutze das andere Programm zum suchen,es findet wirklich alles was du auf deiner Platte hast.
Obwohl ich Avira 10 benutze, hat mir da tool von Microsoft schon ofte die Hoppelhasen endeckt und gekillt, was Avira nicht gefunden hat
 
Zuletzt bearbeitet:

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
Zitat von Bli{ZZ}arD:
hab ich RKill laufen lassen und prompt wurden 4 Prozesse gekillt und der Virus ist nicht gestartet und ist momentan nicht da!

Nun, ich nehme an dass RKill nur Prozesse killt, aber die Malware selber nicht entfernt..?
da liegst du nicht ganz falsch.;) schau dir mal den "informationen zu rkill"-link(What it does and What it Doesn't) an.
warum hast du nach rkill nicht direkt dds und usbfix drübergejagt?
bei infektionen sollte man strukturiert vorgehen.
die "hilfestellung" von fischi1305 ist absoluter blödsinn.

@Froschkönig:
ich bin bis auf ein paar ausnahmen kein freund von bereinigungen, aber ich denke, dass eine saubere analyse sinnvoll ist.
um was für eine malware handelt es sich? was kann der hilfesuchende in zukunft "besser" machen, sind z.b. "kritische" programme veraltet? wird mit adminrechten gesurft? sind wechseldatenträger infiziert? gibt es hinweise auf einen schädling, bei dem umgehend kontakt mit dem kreditinstitut aufgenommen werden sollte, so online banking genutzt wird? ETC.
den "erste hilfe"- thread habe ich nicht aus langeweile gestartet, er soll dazu dienen, dass man via ferndiagnose(diesen umstand sollte man immer bedenken) hilfesuchende möglichst kompetent in bezug auf malware beraten kann.
 
Zuletzt bearbeitet:

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
emlyn d.

Das ist kein blödsinn sondern die harte realität,nur so habe ich meine Hoppelhasen gefunden und gekillt, die Reihenvolge ist etwas durch einander, aber zum Ziel führen sie auch,und außerdem habe wir alle irgendwelche Erfahrungen bezüglich von Vieren o.ä. gemacht,die wir dann hier mitteilen also sag mir nicht das mein Weg blöde ist,und was ist an diesem Tipp falsch=der Tipp mit Microsoft Security Essentials =?
Warum soll ich etliche Programme wie du es beschrieben hast laufen lassen, wenn es auch einfacher geht?
Weist du warum die meisten hier erst gar keine Fragen stellen wollen? Weil sie wissen das sie nur zu komplizierte Antworten bekommen und damit ist ihnen ja auch geholfen,ich lach mich kaputt
Komplizierte Frage= einfache Antwort so sollte es sein, damit ist den meisten Jungs incl.meiner Person geholfen. Aber auch du kommst noch dahinter
 
Zuletzt bearbeitet:

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
@fischi1305
Deine Vorgehensweise ist, sei mir nicht böse, ein planloses darüber jagen von Tools. Wer sagt das MSE wirklich gefunden hat? Malware versucht möglichst unentdeckt zu bleiben und schmeißt dir keine Meldung an den Kopf "Hallo ich bin noch da" :rolleyes:
Wenn man wirklich bekämpfen will, dann muss erst mal wissen um was es sich genau handelt, erst dann kann man an eine Bekämpfung denken.
Dieses Vorgehen deines Vorschlages stellt nur den Virenscanner ruhig, deswegen ist das System noch lange nicht sauber! Hier wäre es dann wirklich besser, neu zu installieren.
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
warum soll ich dir böse sein, jeder darf das sagen was er für richtig hält, ob es dann auch richtig ist muß jeder für sich selbst entscheiden.
warum soll ich denn jedesmal neu installieren, ist ja dann zum kotzen,dem Tool von Microsoft war ich am Anfang auch sehr skeptisch gegen über gewesen, aber es hatte 2 hartnäckige Trojaner gefunden und gekillt, was avira nicht gefunden hatte.
mein system ist sauber geworden, vielleicht hatte ich auch glück damit.
es war einer davon ( vBj-_tnbTik.exe/ system 32 ) und den habe ich gefunden, weil meine versteckten systemdateien zu sehen waren.
Habe meinen PC dann auch noch bei
http://security.symantec.com/sscv6/home.asp?langid=ge&venid=gmx&plfid=23&pkj=XBLTPXKBSNZFVCNGCQM

komplett scannen lassen, und der ist sauber.Jeder hat so seine Art wie er die Hoppelhasen bekämpft.
schönen Abend noch
 

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
STRUKTURIERT VORGEHEN! / Hasenjagd

@fischi1305
Warum soll ich etliche Programme wie du es beschrieben hast laufen lassen, wenn es auch einfacher geht?
grundgütiger herrgott!
du hast rein gar nichts verstanden und ich halte es für gefährlich, wenn sich hilfesuchende nach deinem inkompetenten geschreibsel richten.
ja?
es war einer davon ( vBj-_tnbTik.exe/ system 32 ) und den habe ich gefunden, weil meine versteckten systemdateien zu sehen waren.
was auch immer du uns damit mitteilen möchtest...
Das ist kein blödsinn sondern die harte realität
die harte realität: du hast keine ahnung, bunny. PUNKT.
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
emlyn d.


hab dich auch lieb Jeder hat seine eigene Erfahrung gemacht und jeder darf sie auch mitteilen,und jeder sollte selbst entscheiden wie er sein Problem löst,und nur dem Hilfesuchenden sagen mache format c ist ja auch ne tolle Hilfe
Auch wenn meine vorgehensweise für andere komisch ist,so werde ich denn noch weiter machen.Da ich mich schon über dieses Thema mit jemand anderen gezofft habe,werde ich auch nicht mehr darauf antworten. Man liest sich wieder
 
Zuletzt bearbeitet:

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
Für diese ausgeklügelte Antwort hast du sage und schreibe fast drei Wochen gebraucht? Warum muss man das Thema jetzt wieder ausgraben? :rolleyes:
Auch wenn meine vorgehensweise für andere komisch ist,so werde ich denn noch weiter machen
Beratungsresistent nennt man so was, oder? :freak:
werde ich auch nicht mehr darauf antworten.
Ja ist besser so, halte dich aus solchen Threads besser raus, bevor noch mehr Rechner zur Virenschleuder verkommen. Noch mal, solche Malware beinhaltet oft Rootkit Funktionalität, da hilft nur neu installieren.
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
meine Erfahrung=meine Meinung
 
Zuletzt bearbeitet:
Top