Fakl.Dropped, Rogue.WinAntivirus, Adware.180Soluti...

Hallo,

bin kein Profi auf dem PC,

seit einigen Tagen reagiert mein PC nicht mehr wie gewohnt.

Beim anmelden meines Deskops werden Programme und Dateien nur sehr langsam aufgebaut.

Ebenso braucht Browser "Fire Fox" viel länger zum öffnen.(30-40 Sek.)

Auch zeigte er mir nicht alle Seiten z.B. PC-Welt komplett an.

Habe daraufhin mit NAV 2009 meinen Rechner agresiv kompl. gescant.(fand nichts)

Habe nacheinander verschiedene Programme aus der PC-Welt geladen und durchlaufen lassen.(Ad-Aware Pro aus Heft 06/09 + Advanced System Protector pro aus Heft 02/09)

Jeder fand etwas anderes.(Adware.Starware; Trojan.Popuper; Spyware.Seekmo_Search.Assistent, Adware.WinFixer)

Dachte mir, daß mir Norton 360 besser hilft als NAV 2009 und Bedrohungen entfernen wird.

Deshalb habe ich mir Testversion Norton 360 für 30 Tage geladen und zuerst Quick Scan, dann umfassender Scan ausgeführt.
(Kein Scan hat Bedrohungen gefunden bzw. in Quarantäne gesetzt; einzig 14 Cokies wurden entfernt)

Schnelltest Conficker Eye Chart zeigte bisher immer alle 6 Felder an.
Jetzt sind aber die drei oberen Felder leer.

jetzt mit Malwarebytes gescant.(zeigt 3 Bedrohungen an, siehe Überschrift)

Habe RSIT.EXE + Hijach.This geladen und Scan durchgeführt.

Ich glaube, daß ich bisher viel zuviel an meinem PC herumgedoktort habe.
Bitte um Nachsicht.
Vertaue auf eure Hilfe.
Wie kann ich meinen PC wieder sauber bekommen?

vielen Dank im Voraus

Grüße, Ottme

 

1. Scanne dein System erneut mit MBAM, lasse diesmal alles gefundene bereinigen

2. lass bitte folgendes auf Virustotal bzw Jotti scannen und poste hier das Ergebnis:

Code:

C:\Programme\Delphish\DelphishLauncher.exe

3. Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

O1 - Hosts: 81.169.180.144 www.google.de
O1 - Hosts: 81.169.180.144 google.de

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\


4. Onlinescan mittels Bitdefender:
http://www.bitdefender.de/scan_de/scan8/ie.html

5. Es wäre sinnvoll, dein System sauber zu starten und zu scannen:
lade dir von einem sauberen Rechner die UBCD- scanne damit dein System
Link folgt noch

 

Möglicherweise hat die LimeWire Pro Version Adware installiert.
http://www.emsisoft.de/de/malware/?Adware.Win32.LimeWire+Download+Accelerator+Pro+3.1.0.0
Und was dann per Filesharing verbreitet wird, wird auch nicht harmlos sein.

Code:

Richtlinienursprung: Lokale Richtlinie

Verwendetes Profil: Standard

Name: LimeWire

Pfad: M:\Limewire Pro\LimeWire\LimeWire.exe

Status: Aktiviert

 

Hallo phoenix,
Hallo deoroller,

Danke für eure Hilfe.

Ich habe versucht, die Punkte von ph.. abzuarbeiten.

Muß mich aber erst schlau machen, alles ist mir aber nicht gelungen.

zu 1. MBAM hat o.g. in Quarantäne gestellt, und danach nichts weiteres gefunden.

zu 2. scan mit Virustotal im Anhang, scan mit Jotti hat nicht funktioniert, Seite wurde geladen - dann Code eingegeben - zeigte laden an, aber es tat sich nichts - Seite unten links zeigte FERTIG.

zu 3. habe mit HJT gescannt, zeigte Liste an, aber mit 01 - Hosts war garnichts dabei, deshalb nicht gefixt.
Habe ich da etwas falsch gemacht?

zu 4. habe ich noch nicht gemacht, bringt das etwas wenn 3. nicht erledigt

zu 5. habe PC-Welt im Abo, meinst du mit UBCD die Notfall-DVD aus Heft 2/09 ?

Sorry, geht bei mir leider alles sehr langsam.
Tu mich echt schwer mit allem.


Gruß, Ottme

 

>zu 3. habe mit HJT gescannt, zeigte Liste an, aber mit 01 - Hosts war garnichts dabei, deshalb nicht gefixt.
Habe ich da etwas falsch gemacht?

Die Einträge kann man auch direkt aus der hosts-Datei löschen.
http://www.antispam.de/wiki/Hosts-Datei

Wichtig: Die Datei darf keine Dateiendung haben.

zu 5. habe PC-Welt im Abo, meinst du mit UBCD die Notfall-DVD aus Heft 2/09 ?

Da ist der Avira-Antivirenscanner drauf. Damit kannst du den PC booten und die Festplatte scannen. Aber nur, wenn der auch die neusten Signaturen benutzt.
Ansonsten ist das System aktuell http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

>zu 2. scan mit Virustotal im Anhang, scan mit Jotti hat nicht funktioniert, Seite wurde geladen - dann Code eingegeben - zeigte laden an, aber es tat sich nichts - Seite unten links zeigte FERTIG.

Was für einen Code? Da lädt man die zu untersuchende Datei hoch. (Klick auf Durchsuchen.. und navigiere bis zu DelphishLauncher.exe und dann öffnen und dann senden der Datei.)

 

Hi Deoroller,

>>zu 3. werde versuchen, die Einträge aus hosts-Datei zu löschen.
Dann noch mal mit HJT scannen?

>>zu 5. verstehe ich dich richtig, mit Notfall DVD 2/09 booten und scannen?
Oder deinem Link zu AntiVir anwenden?

Muß ich dazu meinen Noton 360 vorher entfernen?
(habe den Artikel dazu aus dem Heft 2/09 noch nicht durchgelesen)

>>zu 2. habe ich mich nicht deutlich ausgedrückt. Klar, habe es genau so wie bei Virustotal gemacht.
(Klick auf Durchsuchen.. und navigiere bis zu DelphishLauncher.exe und dann öffnen und dann senden der Datei.)
Kam aber nach ca. 20 Minuten nichts. War ich da zu ungeduldig?


Info zu meinem Rechner:
habe ihn vorhin runtergefahren und neu gestartet.
Hat alles viel, viel schneller aufgebaut und FireFox wurde auch schneller gestartet.
Ist das positiv zu sehen?

Danke, Ottme

 

Noton 360 muss nicht entfernt werden, wenn mit einer CD/DVD gebootet und davon gescannt wird.

Die O1 - Hosts Einträge sind nicht mehr in deinem zweiten HijackThis-Log enthalten. Trotzdem noch mal in die hosts Datei gucken, dass dort nichts mehr davon ist.

 

Habe

Auf Windows-Systemen findet man die Hosts-Datei hier:
Windows XP.....C:\WINDOWS\SYSTEM32\DRIVERS\ETC

den Ordner ETC geöffnet. Darin sind aber gar keine hosts vorhanden. s.Anh.

Ist das so i.O.??


Ottme

 

Die hosts Datei entspricht fast der Originaldatei.

Da fehlt noch die Zeile:

Code:

127.0.0.1     localhost

Die noch eintragen und abspeichern.

 

so i.O. ??

Ottme

 

Hallo,

Ich habe heute Abend mit der Notfall-DVD 2/09 meinen Rechner gebootet und dann gescannt.
Zuerst nur Part.1 gescannt.
Danach alle Part. gescannt.
Nach Beendigung mit "Z" Ergebnisse anzeigen lassen.
Wurde daraus leider nicht schlau. Habe keinen Vermerk gefunden ob i.O. oder nicht.
Sind Ergebnisse irgenwo gespeichert worden?

Nach dem beenden wieder runtergefahren.

Habe Rechner dann wieder normal gestartet.
Jetzt ist aber alles wieder extrem langsam.(Aufbau meines Deskt, Anzeigen der Icons, Browser starten -Mozilla + IE8)

Mit Mozilla bekam ich zwar Verbindung mit PCWelt, konnte auch auf Seite Forum gehen, Einstieg bei Sicherheit hat länger gedauert, aber in mein gestelltes Thema bekam ich keine Verbindung.(habe es mehrmls versucht, ging absolut nicht)

Habe mich deshalb mit IE eingelockt. (mache ich normalerweise nicht)
Seitenaufbau hat mit IE zwar auch länger gedauert, ging aber dann doch.

was kann ich noch tun?

Gruß, Ottme

 

Das PC-Welt Forum ist öfters schwer erreichbar.
Das liegt nicht nur an deiner PC-Konfiguration.

>Sind Ergebnisse irgenwo gespeichert worden?
Das glaube ich nicht, da auf der DVD nichts gespeichert werden kann.

 

Bin etwas unsicher und will nichts gegen Deine/Eure Ratschläge tun.

Habe wie empfohlen erst jetzt mal "BitDefender OnlinesSanner" durchgeführt. (Bericht im Anhang)
Hat einen Trojaner entfernt (immerhin mal was positives)
Kann man feststellen ob dieser Neu war, oder schon länger drauf war?

Auch im Verlauf Norton360 nochmal reingeschaut.
Da taucht immer wieder folgendes auf:
"unbefugter Zugriff protokolliert (Zugriff auf Prozessdaten)"
-> Angreifer: C:/programme/java/jre6/bin/jqs.exe
-> Reaktion: unbefugter Zugriff protokolliert
-> keine Aktion erforderlich

ist das normal?

Norten findet einfach nichts, stellt auch nichts in Quarantäne.

-----

--> Info zu AntiVir von DVD
--> fand keine Möglichkeit Ergebnisse zu speichern
--> stand auch nichts dabei, das gefährliches o.ä. gefunden wurde
--> weiss nicht ob das weiter hilft (hatte mir vor beenden etwas notiert)

/mnt/sdb1/burn/coreldraw11.rar
/mnt/sdb1/burn/norton systemworks2004/SUPPORT/MSIE/IENT_S1.CAB

----

Seit gestern bekomme ich auch auf verschiedenen Webseiten ab und zu Werbung eingeblendet.
(ca. 1/4 des Bildschirmes quer, lässt sich auch nicht entfernen, hat nirgends ein kleines x zum schliessen, sitzt immer fest auf der Oberfläche, beim scrollen bewegt es sich mit der Seite mit, nur beim wiederladen oder Seitenwechsel ist Werbung dann verschwunden)
Gerade als ich das hier schrieb war das wieder der Fall (hat also nichts mit entferntem Troj. zu tun)

Sorry, sieht so aus als wenn ich nicht direkt antworte.
Versuche wenn möglich immer erst umzusetzen und dann erst antworte.
Kann nur Abends bzw jetzt auch Nachts am PC sitzen.
Bin tagsüber in der Arbeit.

Wie soll ich am besten weiter verfahren?
Hat das ganze aussicht auf Erfolg?

Gruß, Ottme

 

Code:

Geprüfte Dateien
 Status
D:\Eigene Dateien 2 HDD2\Downloads\SmitfraudFix.exe
Infiziert: Trojan.Generic.133452
D:\Eigene Dateien 2 HDD2\Downloads\SmitfraudFix.exe
Gelöscht
D:\System Volume Information\_restore{CA983CD6-E600-48EE-84A2-9EF515F2DBD7}\RP934\A0061373.exe
Infiziert: Trojan.Generic.133452
D:\System Volume Information\_restore{CA983CD6-E600-48EE-84A2-9EF515F2DBD7}\RP934\A0061373.exe
Gelöscht

Die Funde sind alle harmlos.
SmitfraudFix.exe ist nicht infiziert. Es ist Riskware. http://de.wikipedia.org/wiki/Riskware
Es benutzt die selbe Technik, wie Malware, um an benötigte Informationen zu kommen.
In System Volume Information\_restore ist wahrscheinlich SmitfraudFix.exe von der Systemwiederherstellung gesichert worden.

Riskware wird nicht von jedem Scanner angezeigt. Da kommt es auf den Hersteller der Sicherheitssoftware und den Einstellungen an, ob "Tools" als Bedrohung angesehen werden.

"unbefugter Zugriff protokolliert (Zugriff auf Prozessdaten)"
Deaktivieren von Java Quick Starter JQS
Das ist auch keine Malware.
http://www.java.com/de/download/help/quickstarter.xml

 

>Wie soll ich am besten weiter verfahren?
Hat das ganze aussicht auf Erfolg?

Nenne doch mal ein paar Webseiten, auf denen Werbung eingeblendet wird.
Möglicherweise ist es Layerwerbung, die mit Hilfe einer Erweiterung blockiert werden kann.

 

Danke für Info über "Java Quick Starter JQS"
Als Nichtprofi lernt man gerne dazu, recht interresant.

Werbung kam gestern 1 x hier auf Seite 2
- http://www.pcwelt.de/forum/sicherhe...ed-rogue-winantivirus-adware-180soluti-2.html

und gestern 2 x hier auf Seite 3 (glaube, war Werbung von Phillips)
- http://www.pcwelt.de/forum/sicherhe...ed-rogue-winantivirus-adware-180soluti-3.html

Als ich jetzt Webadressen einkopiert habe war aber nichts drauf.
Sind die zwei Seiten, die ich noch 100% weiss, andere habe ich mir nicht gemerkt, werde das aber bei nächster Werbeeinblendung abspeichern.
Heute ist auch noch nichts gekommen.

MBAM + HJT zeigen nach weiterem scan keine Funde, Bedrohungen an.

Ist mein PC jetz sauber?

Was mit den 3 in Überschrift tun, die in Quarantäne in MBAM sind?
Mit integr. Programm FileASSASSIN entfernen?

Ottme

 

Hier im Forum ist mir noch keine Werbung angezeigt worden.

 

Ist aber Wahr, kannst mir glauben.

Ottme

 

In der Zwischenzeit schaue ich heute mal wieder auf anderen Webseiten.

Dabei ist mir aufgefallen, daß bei mir nicht alle Bilder in WebSeiten dargestellt werden. Wurden bisher ohne Probleme angezeigt.

z.B. mit Mozilla auf Web http://www.computerbild.de/fotos/Die-50-beliebtesten-Downloads-des-Monats-3194115.html

gleiche Seite mit IE http://www.computerbild.de/fotos/Die-50-beliebtesten-Downloads-des-Monats-3194115.html

Ich hoffe, daß man es im Anhang erkennt
Mit Mozilla keine Bilder, nur Logos.
Mit IE kommen Bilder

Ottme

 

Mit den bisherigen Mitteln scheint das Problem nicht in den Griff zu kriegen sein.
Word8 (Office97) ist dazu veraltet und es werden seit Jahren keine schweren Sicherheitlücken mehr von Microsoft geschlossen. Auch wenn es reicht, ist es ein Sicherheitsrisiko. Die Dateien im Anhang werde ich nicht öffnen.
Ich rate einen Umstieg auf ein aktuelles Textverarbeitung-/Office-Programm.
Um die Probleme in den Griff zu kriegen solltest du Daten sichern und das Betriebssystem komplett neu aufsetzen.