Wurde Virus komplett von Antiviren Software entfernt?

Momoko

Also, während ich im Internet gesurft habe hat sich auf einmal so eine "Interpol"- Seite geöffnet auf der man Zahlen soll. Durch damalige Vorkenntnisse wusste ich, dass es sich mit Wahrscheinlichkeit um einen Virus handelt, weshalb ich erstmals die Internetverbindung beendet habe um dann Panda Internet Security durchlaufen zulassen. Das Programm hat auch einen Virus gefunden und ich habe ihn mit Hilfe des Programmes 'desinfiziert'. Ich bin mir jedoch nicht sicher, ob das Programm ausreicht?!

Ich hoffe ihr könnt mir Helfen

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

Guepewi

Hallo Momoko,

Warte bitte "geduldig", bis sich die Spezies melden!

IdefixWindhund

Normal sind Antivirenprogramme recht zuverlässig.

Guepewi

@ Windhund,
Bitte "Kommentare" im Virenforum den Spezies überlassen. Virenprogramme erkennen leider nicht alles!

AxT

Einmal in Panda schauen ob du bei den Ereignisse findest, welche Datei da genau gelöscht wurde. LOG hier reinstellen, wenn möglich.
Das dann tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner und es öffnet sich im Windows-Explorer der Ordner C:\PPF_Scan1. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Download Links hier.

Der Leo

Ein kleiner Einwurf von mir. Panda ist ein Cloud basierter Scanner. Die Malware Erkennung findet ausschließlich bei einer bestehenden Internetverbindung statt. Von daher ist ein Scann ohne Internetverbindung zum größten Teil sinnfrei. Damit ist die Aussage "Normal sind Antivirenprogramme recht zuverlässig" hinfällig. In diesem Fall ist keine bzw kaum eine Erkennung gewährleistet. Auch der Mechanismus zum entfernen der Malware lagert in der Cloud...

AxT

Die Vollversion von Panda kenne ich nicht. Die Freeware ist extrem resourcenschonend - ist meist das einzige an Scannern, was auf sehr langsamen Rechnern überhaupt läuft. Ist erst mal was im System verankert, dürfte man zumindestens mit der Freeware die wenigsten Chancen haben, da effektiv was zu beseitigen. Egal was hier raus kommt - ohne Sandbox würde ich mit der Freeware von Panda nicht ins Netz gehen. Den Scanner halte ich aber gerade für langsame Geräte für sehr gelungen.

Momoko

Leider konnte ich die entsprechende Datei bei Panda nicht mehr finden. Ich kann mich jedoch daran erinnern, dass sie 'tj genetics enthielt' , auch wenn ich nicht weiß, ob es weiterhilft. Die Downloadlinks:

Danke für die Antwort

AxT

Ich brauche noch das Datum und in etwa die Uhrzeit des Vorfalls (wenn es geht).

AxT

Das sehe ich zur Zeit:

Code

C:\Windows\System32\mssip32d.exe
  ->db3d93155aa6b0cb7a6fdce78b1934dd


C:\Windows\System32\DlProtectSvc.exe
  ->27fd8e461899fef298070b5548f11880




_____________________________________________________________________________________________________________________________________________________________________________________________________________




********************************************************
*Dienste in der Registry (CurrentControlSet)           *
*[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]*
********************************************************
Dateiname                                                                                     Beschreibung                                                                                                                                                                                                                                                                                                           Anzeigename                                                                                                     Typ                           Start              Registrykey                                  Datum        Signatur                                             ServiceDLL                                   ServiceDLL Signatur   
============================================================================================= ====================================================================================================================================================================================================================================================================================================================== =============================================================================================================== ============================= ================== ============================================ ============ ==================================================== ============================================ ===================== 
C:\Windows\System32\DlProtectSvc.exe                                                                                                                                                                                                                                                                                                                                                                                 Download Protect Service                                                                                        eigener Prozess               autostart          DlProtectSvc                                 26.03.2015                                                                                                                           
C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe"                                                                                                                                                                                                                                                                                                                                                         Update AdvanceElite                                                                                             eigener Prozess               autostart          Update AdvanceElite                          25.09.2014                                                                                                                           
system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys                                                                                                                                                                                                                                                                                                                                                      {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64                                                                      Kernel Driver                 beim Systemstart   {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64   26.03.2015   AdvanceElite                                                                                                            




_____________________________________________________________________________________________________________________________________________________________________________________________________________






************************************************************************************************************
*Browser Helper Objects                                                                                    *
*[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]*
************************************************************************************************************
CLSID                                    Dateiname                                                                                                  BHO-Name                                
======================================== ========================================================================================================== ======================================= 
{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}   C:\Program Files (x86)\{AB1C8136-6073-4343-A83A-F3614412B69A}\{095A88CF-69E6-4015-A97D-4050AC9340AF}.bin   DownloadProtect Extension               


_____________________________________________________________________________________________________________________________________________________________________________________________________________






************************************************************************************************
*Browser Helper Objekte                                                                        *
*[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]*
************************************************************************************************
CLSID                                    Dateiname                                                                                            BHO-Name                         
======================================== ==================================================================================================== ================================ 
{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}   C:\Program Files\{7D246B1F-1598-4F24-B543-79E601A217B9}\{6E62BF38-6349-47BA-AC4F-8379957571A4}.bin   DownloadProtect Extension        




_____________________________________________________________________________________________________________________________________________________________________________________________________________


********************************************************************************
*[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]*
********************************************************************************
Download Protect         = C:\ProgramData\dlprotect.exe


_____________________________________________________________________________________________________________________________________________________________________________________________________________






****************************************************************************
*[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings]*
****************************************************************************
    [{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]   (15.10.2014)
HKEY_CLASSES_ROOT\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\Inprocserver32: = C:\Program Files\{7D246B1F-1598-4F24-B543-79E601A217B9}\{6E62BF38-6349-47BA-AC4F-8379957571A4}.bin ($1)






HKEY_CLASSES_ROOT\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}: = DownloadProtect Extension ($1)


_____________________________________________________________________________________________________________________________________________________________________________________________________________




******************
*Geladene Treiber*
******************


Dateiname                                                                    Adresse          Größe (Speicher)   Dateibeschreibung                           Firmenname                       Produktname                    Produktversion   Dateiversion                       Signatur                       
============================================================================ ================ ================== =========================================== ================================ ============================== ================ ================================== ============================== 
C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys   -8246311780352   57344              StdLib                                      StdLib                           StdLib                         1.4.4.6          1.4.4.6 built by: WinDDK           AdvanceElite                   






_____________________________________________________________________________________________________________________________________________________________________________________________________________






****************************************
*C:\Program Files (ausführbare Dateien)*
****************************************


26.03.2015 17:43     C:\Program Files\{7D246B1F-1598-4F24-B543-79E601A217B9}\{6E62BF38-6349-47BA-AC4F-8379957571A4}.bin --------- 401408 (A)  Beschreibung: SchÃ¼tzt Sie vor schÃ¤dlichen Downloads.  Firmenname: Download Protect  Produktname: Download Protect




_____________________________________________________________________________________________________________________________________________________________________________________________________________




**********************************************
*C:\Program Files (x86) (ausführbare Dateien)*
**********************************************


26.03.2015 17:43     C:\Program Files (x86)\{AB1C8136-6073-4343-A83A-F3614412B69A}\{095A88CF-69E6-4015-A97D-4050AC9340AF}.bin --------- 324096 (A)  Beschreibung: SchÃ¼tzt Sie vor schÃ¤dlichen Downloads.  Firmenname: Download Protect  Produktname: Download Protect




_____________________________________________________________________________________________________________________________________________________________________________________________________________




**************
*Prozessliste*
**************




PID    Prozessname                        Session   User             Parent-PID   Dateiname                                                                                Dateibeschreibung                                                        Firmenname                     Kommandozeile                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
====== ================================== ========= ================ ============ ======================================================================================== ======================================================================== ============================== ========================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================== 
1648   mssip32d.exe                       0         SYSTEM           516          C:\Windows\System32\mssip32d.exe                                                                                                                                                                 C:\Windows\system32\mssip32d.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           
1092   DlProtectSvc.exe                   0         SYSTEM           516          C:\Windows\System32\DlProtectSvc.exe                                                                                                                                                             C:\Windows\System32\DlProtectSvc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
3184   dlprotect.exe                      1         Heidi            2072         C:\ProgramData\dlprotect.exe                                                                                                                                                                     "C:\ProgramData\dlprotect.exe"                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            






_____________________________________________________________________________________________________________________________________________________________________________________________________________




########################
#* Proxyeinstellungen *#
########################
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
     ProxyEnable = 1 ($4)




_____________________________________________________________________________________________________________________________________________________________________________________________________________

Alles anzeigen

Ist aber nicht von dem gelöschten Befall. Da bräuchte ich das Datum und Uhrzeit noch - dann schauen wir noch mal speziell.
Danach fegen wir die Sachen weg.

Momoko

Gestern am 25. März zwischen 13.00 - 14.00 Uhr. Desinfiziert wurde das Programm ca 1,5 Stunden später.

AxT

Ich schreibe gerade noch was für die Suche - dauert nur einen kleinen Moment.

AxT

Das tun:

PPFScan.exe starten.
Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.

In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern):

Code

CREATE_FOLDER->C:\PPF_Scan2
SET_SCANLIST->1
SET_OPTIONS->-205,217
SEARCH_FILES_WITH_DATES->*
->
->20150325
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Lasse das Script bei einer Meldung nicht abbrechen!
Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Downloadlinks hier im Forum.

Momoko

alle Schritte befolgt:
http://speedy.sh/QdC7p/ppFiles.txt
http://speedy.sh/yEYhZ/Scripting.txt

AxT

Bevor wir hier Anfangen:
Du hast einiges an Adware im System - unter anderem einen Treiber und Dienste. Proxyeinstellungen des Systems sind ebenfalls nicht so, wie sie sein sollten. Ich rechne im Augenblick nicht damit, das was passiert - es könnte aber sein, dass du beim Ausführen der Virenscanner, die wir verwenden werden, den Internetkontakt auf dem Rechner verlierst (besonders wenmn ich da noch was versteckt, was ich zur Zeit nicht sehen kann). Hast du die Möglichkeit, zur Not mit einem anderen Rechner diese Seite hier aufzurufen?

Momoko

Ja, bei Notwendigkeit besteht die Möglichkeit von einem anderen Gerät auf diese Intetrnetseite zuzugreifen

AxT

Verlierst du irgendwann den Internetkontakt, hier sofort melden. Ich kann zur Zeit noch nicht sagen, ob ich wirklich alles sehe und das Ding uns Schwierigkeiten bei der Entfernung macht.

Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
PPFScan.exe starten.
Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.

In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern):

Code

CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64


REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update AdvanceElite
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->DlProtectSvc


SET_REGISTRY_DWORD_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
->ProxyEnable
->0


COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Lasse das Script bei einer Meldung nicht abbrechen! Der Rechner wird sich neu starten.
Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Downloadlinks hier im Forum.

Dann das tun:

Lade dir bitte von hier den AdwCleaner herunter und speicher es auf dem Desktop ab.
Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe
Klicke im Hauptfenster auf "Suchen"
Warte bis der Scan beendet ist.
Klicke im Hauptfenster auf "Löschen"
Bestätige die erscheinenden Meldung mit OK
Der Rechner wird sich neu starten.
Nach dem Neustart öffnet sich ein Textdokument.
Lade das Log AdwCleaner[S0].txt, das sich nach dem Neustart geöffnet hat, bei http://www.speedyshare.com/ hoch und poste den Downloadlink hier im Forum.

Dann geht es so weiter:

Wir werden dann über den PPFScanner noch einen Virenscan mit dem Eset Onlinescanner starten.
Erschrecke bitte nicht, wenn sich die Maus wie von Geisterhand über den Bildschirm bewegt und Einstellungen im Scanner setzt - das ist so gewollt und wird durch das Script gesteuert. Der Scanner verleiht dem Tool der Antivirenfirma erweiterte Rechte, die es von der Programmierung her nicht hat - der PPFScanner tritt dem Tool also quasi in den Hintern, damit es bessere Ergebnisse für mich bringt. Lies dir zuerst genau durch, was du tun sollst - führe das danach erst aus.
Während der Scan läuft, gibt es weitere Infos von mir.
Das tun:
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern):
  Code
```
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPF_Scan2
DOWNLOAD->http://download.eset.com/special/eos/esetsmartinstaller_enu.exe>C:\PPFS_Tools\ESInstall.exe
CREATE_BATCH_FILE->C:\PPFS_Tools\Test.BAT
REM->SET_PRIVILEGE->SeBackupPrivilege>0
EXECUTE->C:\PPFS_Tools\ESInstall.exe
REM->SET_PRIVILEGE->SeBackupPrivilege>1
WAIT_FOR_WINDOW->Terms of use
->ESInstall.exe


CLICK_WINDOW->YES, I accept the Terms of Use
->ESInstall.exe
->8
->8


CLICK_WINDOW->Start
->ESInstall.exe
->8
->8


WAIT_FOR_PROCESS->OnlineScannerApp.exe


SLEEP->1000


CLICK_WINDOW->Enable detection of potentially unwanted applications
->OnlineScannerApp.exe
->8
->8


CLICK_WINDOW->Advanced settings
->OnlineScannerApp.exe
->8
->8


CLICK_WINDOW->Scan archives
->OnlineScannerApp.exe
->8
->8


CLICK_WINDOW->Start
->OnlineScannerApp.exe
->8
->8


WAIT_FOR_WINDOW->Finish
->OnlineScannerApp.exe


ACTIVATE_WINDOW->Eset Online Scanner
->OnlineScannerApp.exe


CLICK_WINDOW->Finish
->OnlineScannerApp.exe
->8
->8


SLEEP->3000


KILL_PROCESS->OnlineScannerApp.exe


CREATE_BATCH_FILE->C:\PPFS_Tools\LOG.BAT
WRITE_BATCH->COPY "%PROGRAMFILES%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A
WRITE_BATCH->COPY "%PROGRAMFILES(X86)%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A
OPEN->C:\PPFS_Tools\LOG.BAT
OPEN->C:\PPF_Scan2
END->
```
  Alles anzeigen
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
- Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen!
- Der Eset Onlinescanner (Virenscanner) wird sich selbst herunterladen, starten und selbst die Einstellungen setzen. Finger weg vom Rechner, bis der Scan von Eset gestartet wurde!
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Downloadlinks hier im Forum.

Momoko

obwohl ich der Beschreibung gefolgt bin wird mir gleich beim ersten Schritt angezeigt, dass es sich um ein ungültiges Script handeln soll
Was soll ich nun tun?

AxT

Ist oben geändert - jetzt müsste es gehen.

Momoko

Das Script wird zwar angenommen, aber erst kommt eine Meldung, das bei Ausführung des Scripts vieles beschädigt werden kann, welche ich dann trotzdem bestätigt habe. Danach habe ich eine Meldung bekommen, dass das Script nicht errfolgreich ausgeführt werden kann Selbst wenn ich der Anweisung gefolgt bin und das Script nicht durch eine Meldung stoppen ließ, startete der Computer neu. Nach dreimaligen Abstürzen und immer wieder erneuten Versuchen, konnte das Script weiterhin nicht ausgeführt werden...

Jetzt mitmachen!