Avira Support Forum

Hallo
ich bin neu hier und auch in der Materie nicht sonderlich bewandert. Seit einigen Tagen habe ich das Problem, dass die freeware von Avira immer wieder Trojaner anzeigt, zu denen ich kaum Informationen finde. Ich habe immer wieder einen Scan durchlaufen lassen und die entsprechende Datei in Quarantäne verschoben, außerdem benutzte ich "Spybot". Auch dieser zeigte mir Probleme an, beim Beheben aber bekam ich die Auskunft, auf versch. Probleme keinen Zugriff zu haben und einen Administrator hinzuzuziehen.

Der Name des Trojaners ist: TR/Mediyes208896, Infos finde ich lediglich, dass ein geringes Risiko besteht. Gestern hatte ich im Minutentakt die Meldung, dass er gefunden wurde, auch heute ist es jetzt schon das 3. Mal, das ich gewarnt werde.

Was kann ich tun, um diesen Trojaner zu entfernen, bzw., wer weiß, was die Risiken dabei sind? Ich hab keine Ahnung, wo ich den her habe - ich öffne normalerweise keine Mails, die ich nicht kenne, surfe nicht auf "gefährlichen" Seiten, usw.

FAlls noch Informationen gebraucht werden, bitte einfach nachfragen - wie gesagt, ich kenne mich nicht sonderlich aus, möchte aber meinen PC wieder sauber haben!

Herzlichen Dank
chiara

Moin chiara



Downloade OTL von hier _
http://oldtimer.geekstogo.com/OTL.exe


Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"

Klicke ins Bild zu Vergrössern .....


4. Kopiere in die Textbox ohne das Wort "Zitat"

Quoted

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind mach folgendes. start programme zubehör,editor ( notepad), dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.


Rajo

Vielen Dank erstmal für die genaue Beschreibung! Ich hoffe, ich hab alles richtig gemacht! Hier die Links zu Bericht 1 und 2.


http://www.file-upload.net/download-4308917/OTL1.txt.html
http://www.file-upload.net/download-4308918/otl2.txt.html

Jetzt weiß ich nicht, ob das die beiden Berichte waren, die du brauchst - deshalb hier nochmal ein anderer Link:

http://www.file-upload.net/download-4308978/otl.txt.html

• Starte bitte erneut die OTL.exe
• Kopiere nun das Folgende in die Textbox Außer das Wort Zitat :

Quoted

:OTL

[2012.04.02 16:12:24 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Usruuw
[2012.04.02 16:12:24 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Ebwihe
[2012.04.02 16:12:24 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Atmuza
[2012.04.02 15:35:58 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Ombup
[2012.04.02 15:35:58 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Keidr
[2012.04.02 15:35:58 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Idadu

[2012.04.21 23:18:57 | 000,208,896 | ---- | M] () -- C:\Windows\system32\aptw4dlm5.dll


:Reg
:Files
ipconfig /flushdns /c
:Commands
[emptyflash]
[emptytemp]
[emptyjava]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne Arbeitsplatz, c: dann _OTL
dort Rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv bei
www.file-upload.net
hoch.
sende mir den download link als private nachicht.

Rajo

hatte einen Fehler ( das zitat feld war zu kurz ! )

Bitte evtl .otl abrrechen - und das script neu reinkopieren ....


Danke



Rajo

DAnke dir - ich hab aber mitgedacht (kommt selten vor!) und alles kopiert Die DAtei kommt gleich!

Lieben DAnk, Rajo!

dann bitte

Macaffe über Systemsteuerung deinstallieren !!

Neustarten !!

*******


Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !

• Wähle die Testphase für Echtzeitscanner ab !
  
• Die Yahootoolbar ebenfalls
  

mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo

Ich kann keine Rar oder Dip DAtei ertellen. Er zeigt mir an, dass ich keine Leseberechtigung habe oder er keine Datei gefunden hat.....

Quoted from "Rajo"

dann bitte

Macaffe über Systemsteuerung deinstallieren !!

Neustarten !!

*******


Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/mal…/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !

• Wähle die Testphase für Echtzeitscanner ab !
  
• Die Yahootoolbar ebenfalls
  

mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo

Sorry, ich komm nicht ganz mit......Ich hab jetzt dieses Programm runtergeladen und installiert. Und wo soll ich jetzt Vista Windows7 starten? Grad auf dem Schlauch steh......

Quoted from "chiara249"

Und wo soll ich jetzt Vista Windows7 starten? Grad auf dem Schlauch steh......

du sollst als user von Windows 7 ( der du ja bist)
das Malwarebytes mit rechtem Mausklick dann Auswahl Administrator / admina
starten

sonst scannt er nur mit Userrechten - das ist zu wenig ...

Alles klar

Rajo

So, jetzt hoffe ich, alles richtig gemacht zu haben. Allerdings wollte das Programm zur Entfernung einen Neustart - bei jedem Neustart aber schaltet sich der Echtzeitscanner von AntiVir sofort wieder an und meldet sofort wieder diesen Trojaner......Jetzt erstmal das Log:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.28.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
User :: TELEFONTHEKE-PC [Administrator]

Schutz: Deaktiviert

28.04.2012 12:12:35
mbam-log-2012-04-28 (12-12-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 202580
Laufzeit: 5 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\User\Downloads\SoftonicDownloader_fuer_banner-maker-pro.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\User\Downloads\SoftonicDownloader_fuer_firetune.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

wie ist der OTL scan gelaufen ?
wo ist das log .....

raren am besten mit Winrar -

http://www.chip.de/downloads/WinRAR-32-Bit_12994655.html

c:\_otl mit mausrechtsklick zu archiv ....


Rajo

Quoted from "chiara249"

Infizierte Dateien: 2
C:\Users\User\Downloads\SoftonicDownloader_fuer_banner-maker-pro.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\User\Downloads\SoftonicDownloader_fuer_firetune.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Super - schon was zu sehen - ja - nun noch
C:\_otl ordner - dann weiss ich mehr

Danke
rajo

*Schweiß von der Stirn wisch* - Himmel, wat ein Mist.........das alles wegen so einem blöden Pferd

Ich danke dir erstmal - hoffentlich hat das jetzt gefunzt mit der Datei.

LG chiara

Okay -

Ist das Plroblem behoben ??

ist MacAffee deinstalliert ?
2 scanner aiuf einem System ist eine ganz schlechte Idee

von Tuneup rate ich ab ... das ist ein Systemverbieger erster güte - nutzlos ..



Ich darf den geschätzten Kollegen Nighthawk zitieren :

Quoted

Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.

Rajo

Hallo Rajo

wie gesagt: Sobald ich neustarte, schaltet sich Avira Echtzeitscanner wieder ein und sofort meldet er wieder den Fehler. Was Toolbars betrifft: Normalerweise schmeiße ich die entweder gleich aus der Installierung oder ich lösch sie später wieder aus der Systemsteuerung. Tune up hatte mir gut gefallen, dann lösch ich es vielleciht wieder.

MacAffee ist deinstalliert, Spybot behalte ich aber. Ich hatte mal Norton installiert, allerdings wear es mir nicht möglich, alle Einträge von Avira damals aus der Registry zu löschen - und so haben die sich gegenseitig "abgeschossen".

MAl sehen, ob sich der Avira immer wieder einschaltet........Ich danke auf jeden Fall für die Kompetente und verständliche Hilfe auch für Laien!

Ein schönes WE noch
Herzlich
chiara

Quoted from "chiara249"

und sofort meldet er wieder den Fehler.

du hast doch gerade neugestartet ?? hoffentlich-
gab es denn jetzt eine Meldung ??




aber hallo ..

Wenn ja bitte poste doch einfach die Meldung ....genau ....

Danke Rajo

Der LANman - Check muss gemacht werden.

Hab grade nochmal neu gestartet, der Echtzeitscanner ist wieder angesprungen, aber jetzt kam bisher keine Meldung mehr.

Bitte was ist LANman? DArf ich um Überstzung für Menschen bitten, die sich nicht auskennen?

Lieben Gruß
Chiara