You are not logged in.

Tuesday, July 29th 2014, 4:46pm

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Sarabande" started this thread

Date of registration:
Mar 28th 2012

Version:
Avira Free Antivirus

Operating System:
Win 7

  • Send private message

1

Wednesday, March 28th 2012, 10:52am

EXP/Pidief.azx auf meinem Rechner

Hallo zusammen,

ich habe mir gestern der EXP/Pidief.azx eingefangen, Resultat - schicker schwarzer Bildschirm mit Hinweis "Ihr Rechner wurde gesperrt, blablabla - zahlen Sie 50€"

Antivir hatte auch direkt reagiert und mir 2 Dateien gemeldet - allerdings hat sich das Teil so fix reingesetzt das nix mehr im normalen Zustand ging.

Bei booten im abgesicherten Modus startet der auch nicht mit und ich habe einen vollständigen Scan durchlaufen lassen, worauf die beiden Datein dann auch in die Q verschoben wurden.
Leider hängt der aber immer noch irgendwo drinne und auch die Systemwiederherstellung zu einem früheren Zeitpunkt hat nichts genutzt.

Ich habe mir nun Malwarebytes Anti Maleware, ComboFix,Rkill und die AntiVir Rescue runtergeladen.

In welcher Reihenfolge gehe ich mit den den Programmen nu am besten vor ?

Gibt es Einträge in der Reg die ich per Hand löschen sollte ?

Gibt es sonst noch etwas was ich grundsätzlich machen kann/sollte ?

Thx für Eure Hilfe schon einmal.


LG
Sarabande

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

2

Thursday, March 29th 2012, 11:27am

Hallo,

Bis sich unsere ausgewiesenen Malware-Experten hier bei dir melden, sieh´dir mal bitte diese beiden Artikel aus der knowledge base an:
@ BKA-Trojaner (du hast dir vermutlich eine Variante davon eingefangen)-klick!
und zur manuellen Bereinigung einer befallenen winlogon:
hier-klick!
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

3

Thursday, March 29th 2012, 11:40am

Sei mir nicht böse A.Novize ,aber ich finde Kaspersky hier besser für geeigent ,da dieser ein Webbrowser enthält und man damit wenigstens was anfangen kann ,bei so einem Befall ;)

Und man kann auch gleich die Registry mit bearbeiten ,ich habe bisher viel gutes davon gehört und auch Erfolge .

Also Erfolge in so fern, den PC erstmal wieder benutzbar zu machen ,um danach das zu retten ,was noch zu retten geht davon, an Dateien die wichtig sind. ;)

Kaspersky arbeitet in einer KDE Linux Oberfläche und man kan in sofern schon einiges erreichen.


klick klack da drauf für Anleitung :

+ WindowsUnlocker

http://blog.botfrei.de/2012/03/kaspersky…indowsunlocker/
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 4 times, last edit by "skar29" (Mar 29th 2012, 11:55am)


A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

4

Thursday, March 29th 2012, 12:05pm

Sei mir nicht böse A.Novize

Aber...ich überhaupt nicht...jedoch... hm...ob das die AVIRA-Mitarbeiter hier in eventu etwas säuerlicher sehen, wenn ein Konkurrenzprodukt als besser gepriesen wird, müssten diese artikulieren...

Wie auch immer -OK- ich vermute ja, dass es in der Win-Logon noch sitzt und das auch manuell ginge, aber ich klinke mich da jetzt besser aus, Spekulationen bringen Sarabande nix
(btw. völlig OT @ Nick: Bach...? oder Jon Lords wunderbarer Klassiker...?)
- wünsche ihm (oder ihr?) jedenfalls alles Gute!
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

5

Thursday, March 29th 2012, 12:07pm

Ich denke ich weiß du es meinst ,das andere wissen wir denke ich aber auch sicher "Avira" und so ;)

Tschuldigung Avira das ich mir das rausgenommen habe, sowas zu empfehlen !!

Und als besser würde ich nicht anpreisen wollen hier ,ich schätze die Arbeit sehr eines jeden einzelnen ,sowas mache ich nicht . :(
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 2 times, last edit by "skar29" (Mar 29th 2012, 12:17pm)


6

Thursday, March 29th 2012, 6:19pm

Lasse mal zuerst Combofix laufen. Leider wird über die Faketrojaner auch oftmals echte Malware nachgeladen, welche ein Neuaufsetzen erfordert. Wenn Comfix durch ist und wir das Logfile gesehen kann, können wir weiter entscheiden.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

7

Friday, March 30th 2012, 6:25pm

ok Nighthawk aber er muß doch erstmal wieder Zugang zum Rechener haben ,oder wie soll er das anstellen ? :S :huh:

Es ging mir ja nur wegen dem Zugang zum Rechner ,das er dort erstmal wieder was machen kann . :thumbsup:

Oder geht das über F8 und abgesichtern Modus, ohne das ihm der Trojaner was anhaben kann ?
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 1 times, last edit by "skar29" (Mar 30th 2012, 6:29pm)


Date of registration:
Apr 12th 2012

Version:
Avira Free Antivirus

Operating System:
windows kp

  • Send private message

9

Thursday, April 12th 2012, 8:17am

hallo

also dieser BKA virus vervt langsam!! habe jetzt damit innerhalb eines monats 2 mal zu tun gehabt, das erste mal war es echt stressig, war mit win xp online, aber mit eingeschränktem benutzerkonto!!, von daher keine registry änderungen möglich!!

da sganze lief so ab:
im autostartordner wurden 2 verknüpfungen erstellt:

gyu0.exe
C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\Internet\LOKALE~1\Temp\gyu0.exe,NameFunEx
wpbt0.dll
C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\Internet\LOKALE~1\Temp\wpbt0.dll,NameFunEx
Internet ist übrigens mein eingeschränktes benutzerkonto

das problem danach ist das man beim hochfahren den PC voll gesperrt hat!
lösen konnte ich dies dadurch das ich beim hochfahren direkt strg alt ent gleichzeitig gedrückt hielt, aber eben auch nur kurzzeitig, bis sich ein neues fenster öffnet, dann los lassen, weil sonst evt der pc neu startet!!
dann in den autostart ordner gehen, und sehen was man da so vor findet!! wie gesagt, diese beiden verknüpfungen auf eben die beiden angegeben datein wurden im autostart ordner angelegt!! (aufschreiben, und aus dem autostart ordner diese verknüpfungen löschen)
dann dan temp ordner öffnen, und die beiden dateien manuell löschen!!
(über die suchfunktion bei windows findet man diese dateien übrigens nicht, weil windows die temp ordner bei einer durchsuchung der festplatte ausschließt!! (habe den test nocht mit einer anderen datei gemacht, wurde auch nicht gefunden!!)
am besten über suchfunktion alle temp ordner suchen, diese dann öffnen, und die entsprechenden dateien löschen.
die temp ordner kann man übrigens eh alle ausmisten, die dateien darin wurden nur zwischendurch mal angelegt, sind also unwichtig!!

-----------------
jo, heute früh hat wohl ein ander typ dieser virusvariante zu geschlagen!!
die gyu0.exe fehlt, und bei autostart war auch nix, ich benutze allerdings inzwischen die comodo firewal, und habe den autostart ordner da auch manuell eingebunden, so dass diesmal eh nix im autostart abgelegt werden konnte!!!
was aber identisch war, in
C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\
wurde wieder "wpbt0.dll" erstellt!!
diese datei scheint eine entscheidende rolle zu spielen!!
als vorbeugung könnte man eine txt datei erstellen, über erweiterte dateinamen diese umbenennen in "wpbt0.dll", also aus eine rtxt datei eben eine dll datei machen, und diese datei dann in möglichst alle temp ordner rein kopieren!!
wenn einem dann die schädliche wpbt0.dll wirklich unter geschoben werden soll, dann wird dies wohl blockiert, weil eben schon eine datei mit dem selben namen verhanden ist!!

übrigens diese mal hatte ich es auch mit EXP/Pidief.azx zu tun, also das gleiche wovon der threadersteller berichtete!!

10

Thursday, April 12th 2012, 7:11pm

Wenn immer wieder was nachkommt gibt es ne Lücke im System -deswegen neuaufsetzen.