Avira Support Forum

Guten Abend,

Ich habe seit einer Aktualisierung bzw. Erkennen eines angeblichen Virus/Trojaner der in die Quarantäne verschoben wurde keinen Zugriff mehr auf google. Unter Bericht kam die Meldung:

Die Datei 'C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\31ced09d-4a3efd51'
enthielt einen Virus oder unerwünschtes Programm 'EXP/10-0840.CT' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53d5755a.qua' verschoben!

Ferner:

In der Datei 'C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\WSK3-3127.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Sowie die Meldung:

Der Administrator hat per Sicherheitsrichtlinie den Zugriff auf die Hosts-Datei blockiert.

In der Quarantäne befindet sich die Datei/Meldung: EXP/2012-0507.BL unter dem Namen 53d5755a.qua



Wie bekomme ich nun google wieder zum Laufen?



Aktuelles avira update (free antivirus) ist drauf.



Erbitte Hilfe (bin reiner totaler Anwender - also PC-Depp)

Besten Dank!

Ulvis

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

Hallo,

erstmal herzlichen Dank - hier die Ergebnisse des Quick-Scans:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.08.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: PC-SC [Administrator]

08.05.2012 09:53:21
mbam-log-2012-05-08 (09-53-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 214062
Laufzeit: 5 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Daten: PC-SC_7875768FBE7BAF96 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\lowsec (Stolen.data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Den vollständigen scan mache gleich ich auch noch!



google geht aber leider immer noch nicht auf - Verbindung kann nicht hergestellt werden...???



Grüßle

Ui

So,
der vollständige Suchlauf über alle Laufwerke, Verzeichnisse etc. hat keinen Eintrag erbracht - Google geht leider immer noch nicht.

Die Diagnose ergibt:




HTTP-, HTTPS-, FTP-Konnektivität


info
HTTP: Die Verbindung mit "www.microsoft.com" wurde hergestellt.

info
HTTPS: Die Verbindung mit "www.microsoft.com" wurde hergestellt.

warn
FTP (Passiv): Fehler 12031 beim Herstellen der Verbindung mit ftp.microsoft.com: The connection with the server was reset

warn
FTP (Aktiv): Fehler 12031 beim Herstellen der Verbindung mit ftp.microsoft.com: The connection with the server was reset

error
Es konnte keine Verbindung des Typs "FTP" hergestellt werden.


Avira scheint da irgendwie den host-Zugriff zu sperren - Was kann ich tun?

Besten Dank für eine Hilfe!

Uli

Du bist mit einem Backdoor und Passwortstehler infiziert. . Durch diesen Backdoor ist dein System kompromittiert und nicht mehr vertrauenswürdig. Am sichersten wäre es du sicherst deine Daten (keine ausführbaren Dateien wie exe, bat, com etc.), formatierst die Systempartition und setzt Windows neu auf.

Bitte dann auf dem neuen System sämtliche Passwörter ändern und bei Onlinebanking umgehend deine Bank informieren.

Lies bitte auch folgendes: Kompromittierung, Backdoor;
neuaufsetzen



Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.