Virus, Trojaner, Werbung für Sicherheitsfirma (?)

#1 Schönen guten Tag,
Gestern hab ich beim surfen X Fehlermeldungen und Virusanzeigen bekommen. Als ich heute dann meinen Rechner gestartet habe bekam ich folgende verdächtige Fehlermeldung

"MSASCui.exe - Fehler in Anwendung"
Die Anwendung konnte nicht richtig inititalisiert werden.. bla bla"

Benutze Windows Vista !

Noch dazu kommt das mein Windowsdefender seit dem Befall deaktiviert ist und sich nichtmehr aktivieren lässt. Nach dem heutigen PC Start war dann zusätzlich die Firewall deaktiviert und das Antivirus.

Ich habe dann erstmal alle verdächtigen Prozesse gekillt (c.a. 5 Stück) und dann versucht mein AV zu starten. Bekam nach dem doppelklick einen BLUESCREEN !

Interessant ist auch dass ich ständig von fake Fenstern die aufploppen angeboten bekomme deren Antiviren Software zu kaufen.

Malwarebytes öffnet sich nicht.

Hijackthis log und Uninstall_list ist in der Anhang .txt

Hilfe !!

#2 Download rkill.com zum Desktop. Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“. Falls diese Warnung vom FakeScanner kommt, schließe dieses Fenster nicht sondern lasse rkill.com nochmal laufen.
Starte Deinen Rechner NICHT neu wenn rkill.com beendet ist, da sonst der FakeScanner wieder automatisch neu installiert wird,

Benenne die mbam.exe aus C:\Programme\Malwarebytes' Anti-Malware mal in winlogon.exe um und versuche es dann.
Update MBAM und scanne
__________
MfG Argus

#3 Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3462
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

31.12.2009 13:19:13
mbam-log-2009-12-31 (13-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 418094
Laufzeit: 1 hour(s), 3 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

#4 Das ist alles?
Poste das KOMPLETTE Log
__________
MfG Argus

#5 Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3462
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

31.12.2009 13:41:37
mbam-log-2009-12-31 (13-41-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 418094
Laufzeit: 1 hour(s), 3 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$RECYCLE.BIN\S-1-5-21-2582503037-908167360-2717358082-1000\$R1P8O2J\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\$RECYCLE.BIN\S-1-5-21-2582503037-908167360-2717358082-1000\$R1P8O2J\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Users\Purple Haze\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W5A8HF7R\eH912dd899V03006f35002R05462444108Tda16e7c8Q00000000901801F0016000aJ0f000601l0007318U4e1b3cd30[1] (Trojan.Downloader) -> No action taken.
C:\Users\Purple Haze\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Purple Haze\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Windows\System32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken.
C:\Program Files\DivxDecoder.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\DivxMediaLib.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\FileParser.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\vitality.dll (Spyware.OnlineGames) -> No action taken.

sorry .. ich hab net richtig kopiert

#6 Und die Infektionen entfernt?

ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in Combo-fix.exe und nicht nachher wenn CF schon auf dein Rechner steht





Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus

#7 sieht alles soweit wieder prima aus !
großes lob an das forum !!!!!


aber kann man "händler" die ihre antiviren software auf die sch%& art verkaufen, net irgendwie mit rechtlichen schritten verfolgen ?! ich meine jemanden zu zwingen software zu kaufen, indem die alles andere an AV software lahm legen, is einfach asozial !!!!

#8 CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK

Systemwiederherstellung
Deaktivierung der Systemwiederherstellung (XP)
http://www.alewelt.eu/Sys.htm

1. Rechtsklick auf Arbeitsplatz/Eigenschaften.
2. Den Reiter Systemwiederherstellung öffnen und "Systemwiederherstellung deaktivieren" markieren, auf "Übernehmen" und "Ok" und die folgende Warnmeldung bestätigen. Neu Starten und Haaken wieder entfernen

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu

Benutze CCleaner
Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen".
Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen.
Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden, BackUp ist erforderlich

Entferne via Software DAEMON Tools Toolbar

Update VLC media player

Wir wissen nicht woher die kommen,die Daten die bei http://whois.domaintools.com/ angezeigt werden sind meistens falsch

Happy Surfing again und ein guten Rutsch ins neue Jahr
__________
MfG Argus

#9 ich bedanke mich nochmal, Ihnen auch einen guten Rutsch ins neue Jahr

Bye