Hallo,

ich habe ein problem mit meinem PC und zwar bekomme ich ständig Hinweise von Avast das “eine bedrohung besteht”. Ich habe auch schon eine Vollständige System überprüfung gemacht, der findet auch infizierte Objekte, kann diese aber nicht löschen. Es handelt sich dabei zum einen um den Win32:Malware-gen und zum andern um den Win32:Sirefef-AHF [Trj] beides sollen im Windows verzeichnis im Order c:\windows\System32\service.exe sein. Leider habe ich diesen Ordner nicht gefunden. Ausserdem wird ständig der “Hostprozesse für Windows Dienste” geschlossen und ich kann Windows nicht mehr updaten (Win Vista Business Service pack2).
Kann mir einer helfen???

Schonmal Danke im vorraus

Schau mal ob du die angemeckerte Datei mit der Windows Suche findest und lade die mal bei VirusTotal hoch: https://www.virustotal.com/. Ausserdem kannst du dir mal Malwarebytes Free: http://de.malwarebytes.org/products/malwarebytes_free installieren(nicht die Pro!)und damit per Komplett Scan dein System überprüfen.

Hallo und Willkommen im Forum KTR86!

Bitte folge diesen Anweisungen: http://forum.avast.com/index.php?topic=102616.msg821671#msg821671
Ein Malware-Spezialist wird informiert.

DJBone

Monitoring

Thanx!

@KTR86: essexboy wird dir jetzt helfen einen möglichen Malwarebefall zu beseitigen. Seine Anweisungen sind auf englisch. Solltest du Fragen haben helfen wir (deutschsprachigen) dir gerne weiter.

DJBone

PS: Ich muß jetzt in die Nachtschicht, bin deswegen erst morgen früh wieder online.

Danke, für die Hilfe. Also ich hab das Anti-Malware program durchlaufen lassen, hat auch 2 infizierte Objekte gefunden, System neu gestartet, Avast! sagt immernoch das eine Bedrohung gefunden wurde. Ich habe OTL und aswMBR.exe durchlaufen lassen. Wie mache ich denn einen Anhang?

Die Logdatei von Malwarebytes kannst du hier in den Post reinkopieren. Die anderen Logs als Attachement anhängen: Unter dem Eingabefenster für deinen Post hast du die Option “Attachements and other options” → anklicken und die Logdateien anhängen.

DJBone

PS: Die Captchaeingabe fällt nach deinem nächsten, dritten Post weg.

Ok hier der Log

ich kann den OTL-Log nicht anhängen der ist bei mir 365kb groß, wie kann ich das ändern??

Schutz: Aktiviert

Hast du Malwarebytes etwa doch als Pro installiert? :( ich habe doch extra geschrieben das du es als Free installieren sollst weil sich 2 Virenschutz Programme mit Hintergrundwächter(in dem Fall Avast und Malwarebytes Pro)ins Gehege kommen können und das System negativ beeinträchtigen können. Was du noch probieren kannst: überprüfe dein System mit Kaspersky Rescue Disk 10: http://www.chip.de/downloads/Kaspersky-Rescue-Disk_44976921.html und/oder mit Sardu: http://www.chip.de/downloads/Sardu_45464819.html. Der Vorteil wäre der: Die Scanner der beiden Rescue Disk laufen auf einem Linux System, Windows bleibt demnach aussen vor und die Malware kann keine Windows Funktionen nutzen um einer Entdeckung und Beseitigung durch den Virenscanner zu entgehen.

Nein, ich hab die free version installiert.

Kann nicht sein, du hast nicht aufgepasst bei der Installation. Ich selbst hab seit langem Malwarebytes Free installiert und hab vorhin extra schnell nen Scan kurz gestartet um ein Log zu haben:

Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org

Datenbank Version: v2012.07.17.15

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxxxxx :: xxxxxxxxxxx [Administrator]

23.08.2012 20:42:01
mbam-log-2012-08-23 (20-42-01).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203
Laufzeit: 9 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

und wie du siehst, steht da nichts dabei von Schutz aktiviert.
PS: Für Sardu müsstest du dir zuerst aus dem Programm heraus VirenScanner der verschiedenen Hersteller herunterladen für die Sardu Rescue Disk. Eine Anleitung zu Sardu findest du hier: http://www.chip.de/bildergalerie/SARDU-10-Virenscanner-auf-einer-Notfall-CD-Galerie_45463472.html

ich kann den OTL-Log nicht anhängen der ist bei mir 365kb groß, wie kann ich das ändern??

Sie könnten das Protokoll auf Pastebucket kopieren und den Link hier Posten http://www.pastebucket.com/

Ja, vll. hab ich wirklich Pro runter geladen, ich lad es einfach nochmal runter und achte besser drauf.

http://www.pastebucket.com/2808

Danke

Download and Install Combofix

Download ComboFix from one of the following locations:
Link 1
Link 2

VERY IMPORTANT !!! Save ComboFix.exe to your Desktop

• IMPORTANT - Disable your AntiVirus and AntiSpyware applications, usually via a right click on the System Tray icon. They may otherwise interfere with our tools. If you have difficulty properly disabling your protective programs, refer to this link here

[*]Double click on ComboFix.exe & follow the prompts.
[*]Accept the disclaimer and allow to update if it asks

http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png

http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png

[*]When finished, it shall produce a log for you.
[*]Please include the C:\ComboFix.txt in your next reply.

Notes:

1. Do not mouse-click Combofix’s window while it is running. That may cause it to stall.
2. Do not “re-run” Combofix. If you have a problem, reply back for further instructions.
3. If after the reboot you get errors about programmes being marked for deletion then reboot, that will cure it.

Please make sure you include the combo fix log in your next reply as well as describe how your computer is running now

THEN

run farbar service scanner

https://dl.dropbox.com/u/73555776/FSS.GIF

Tick “All” options.
Press “Scan”.
It will create a log (FSS.txt) in the same directory the tool is run.

Please copy and paste the log to your reply.

Das klappt bei mir nicht, das Combo hängt sich immer nur auf.

[*] Download RogueKiller and save it on your desktop.
[*]Quit all programs
[*] Start RogueKiller.exe.
[*] Wait until Prescan has finished …
[*] Click on Scan

http://i1224.photobucket.com/albums/ee362/Essexboy3/RogueKiller/RGKRScan.png

[*]Wait for the end of the scan.
[*] The report has been created on the desktop.
[*] Click on the Delete button.

http://i1224.photobucket.com/albums/ee362/Essexboy3/RogueKiller/RGKRDelete.png

[*]The report has been created on the desktop.

[*]Next click on the ShortcutsFix

http://i1224.photobucket.com/albums/ee362/Essexboy3/RogueKiller/RGKRShortcutsFix.png

[*]The report has been created on the desktop.

Please post: All RKreport.txt text files located on your desktop.

Off Topic: avast und Malwarebytes als residenter Scanner vertragen sich sehr gut und werden auch von vielen erfahrenen Usern hier im Forum gleichzeitig genutzt (ich auch). Die Free-Version von Malwarebytes ist aber auch gut für z.B. wöchentliche Quick-Scans.

DJBone

Off Topic: avast und Malwarebytes als residenter Scanner vertragen sich sehr gut und werden auch von vielen erfahrenen Usern hier im Forum gleichzeitig genutzt (ich auch).

Das mag sogar zutreffen in dem Fall Avast und Malwarebytes, aber grundsätzlich gilt: verwende nie gleichzeitig 2 verschiedene Virenschutz Programme mit Hintergrundwächtern. Das kannst du als Empfehlung in vielen PC Security Foren nachlesen und wirst du auch von PC Fachleuten in deren Läden/Werkstätten hören. Frage am Rande dau DJBone: Hattest du mal bei dir den Fall das der Hintergrundwächter von Malwarebytes Pro eine Gefahr OnAccess erkannte und stoppte, die von Avast's Echtzeitschutz nicht bemerkt wurde?

Der RogueKiller hat funktioniert hab die Log Angehängt.