Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Frage Malware "System Fix" eingefangen - was tun?

M

mister min

kennt sich schon aus
Hey Leute,

Ich habe gerade noch in Internet gesurft, plötzlich eine Meldung von meinem Antivirenprogramm, es meldet Malware auf dem Rechner, noch schnell auf entfernen gedrückt - dann ist alles abgeschmiert. Lauter Fehlermeldungen, vielen Verschwand einfach, und ein Programm mit dem Namen System Fix hat sich geöffnet, und macht irgentwas. Habe erstma Rechner(Notebook) von Internet genommen, und in Energiesparmodus versetzt, auf einem anderen Gerät gegoogelt, aber nicht viel gefunden, außer dem hier: http://de.pcthreat.com/parasitebyid-21031de.html
Naja, mit dem beschrieben kann ich nicht viel anfangen! Nach den Dateien habe ich schon geschaut, die gibt es irgentwie nicht, den Rest habe ich dann gleich gelassen...

Nun würde ich gerne das Dingens ohne größere Schäden losbekommen, ohne gleich den Rechner zu formatieren, und neuaufzusetzen. Was soll ich tun?

Schonma Danke für eure Hilfe,

Mister Min
 
Anzeige
Kopiere doch mal die Dateinamen und suche im Explorer nach diesen, vorher die Ordneransichten ändern auf geschützte Systemdateien einblenden, auch versteckte Ordner anzeigen lassen
 
Da das mit "entfernen" seitens Deines AV-Programms offensichtlich nichts gebracht hat, bleibt Dir wohl nichts anderes übrig als neu zu installieren - das ist eh die sicherste Variante.
Wenn Du nicht allzuviel an persönlichen Daten hast, würde ich raten Deine HD zu partitionieren und auf der neu erstellten Partition das BS neu aufspielen. Sagen wir mal, Du hast Dein jetztiges BS auf C\ und das neu erstellte dann auf D\, kannst Du Deine privaten Daten ( Filme,Videos,Dokumente ... etc.) dann einfach von C\ nach D\ rüberschubsen - sprich verschieben. Enemy Datas wie Mal-Spyware, Trojaner,Würmer usw befallen zwar inder Regel die Systemdateien und/oder den Browser, trotzdem würde ich die privaten Dateien nochmals scannen, vor dem verschieben. Danach solltest Du dann das C\-Laufwerk formatieren.

Alternativ dazu kannst Du Deine privaten Dateien auch auf eine externe HD verschieben, und dann zurückspielen

ot:
In diesem Zusammenhang eine Frage an die "Gurus" hier:
kann der User dann das leere LW "C" gefahrlos in "D" ändern,
und umgekehrt ?
Da bin ich mir grad nicht ganz so sicher...
 
BobMarleyDE schrieb:
ot:
In diesem Zusammenhang eine Frage an die "Gurus" hier:
kann der User dann das leere LW "C" gefahrlos in "D" ändern,
und umgekehrt ?
Da bin ich mir grad nicht ganz so sicher...
Zum Vergrößern anklicken....

Wozu soll das gut sein ?
ändern kann man das schon bringt aber nichts wenn C: schon formatiert wäre,

einfach auf C: neu installieren und gut ist
 
Mhm, ich habe die .exe gefunden, die kann nicht gelöscht werden, da sie ja ausgeführt wird. Wie kann ich den Prozess beenden? ich komme ja nicht in den Taskmanager.
 
Hallo zusammen!
Ich würde die Daten, also das gesamte Verzeichnis "Users" (oder Benutzer) und das Verzeichnis "Programdata" auf eine externe HDD kopieren, dann auf die Windowspartition eine saubere Neuinstallation machen.
Danach würde ich die externe HDD mit einem Antivirenprogramm und mindestens 2 Onlinescannern überprüfen und erst dann die Daten wieder übernehmen.
 
Sarte mal die msconfig.exe und beende dort unter Dienste den Prozess:
%AllUsersProfile%\[random].exe

danach mit Regedit.exe die im Link beschriebenen Einträge loschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'Yes'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "CertificateRevocation" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop "NoChangingWallPaper" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDesktop" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
 
wiso kommst Du nicht in den Taskmanager,
2 Wege dorthin :
rechtsklick auf die Taskleiste und dort auf den T-manager klicken oder Strg Alt und Entf ( Del ) dann auf Prozesse und dort dann auf den Prozess beenden, notfalls mehrmals
 
Henry, unter den registryschlüsseln, die man löschen soll, steht zufälligerweise

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'

Im Cmd habe ich es auch nicht geschafft den Prozess zu beenden, habe ihn dann aber aus dem autostart geworfen, den rechner neu gestartet, und dann die registrykeys gelöscht. Ist alles wieder da und läuft :)

Trotzdem Danke euch allen, für die angebotene Hilfe ;)
 
Hi BobMarleyDE!
Fast jeder größere Antivierenanbieter bietet auch einen Onlinescanner.
Ich habe neulich erst HouseCall von TrendMicro
Trend Micro HouseCall - Kostenloser Online Virus Scanner
Auch von Kaspersky habe ich schon den Scanner benutzt, ist allerdings schon ein Weilchen her.
Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
Auch von BitDefender habe ich vor einiger Zeit schon den OnlineScanner benutzt.
Online Virenscanner zur Erkennung von Schadsoftware | Bitdefender

Und wenn dir das alles nicht zusagt gibt es dort eine Auswahl der 10 besten Onlinescanner.
Gratis-Schutz - Die 10 besten Online-Virenscanner - Antivirus & Antispyware - PC-WELT
 
mister min schrieb:
plötzlich eine Meldung von meinem Antivirenprogramm, es meldet Malware auf dem Rechner, noch schnell auf entfernen gedrückt
Zum Vergrößern anklicken....

Noch mal ein paar Ratschläge für den Fall das du dir noch mal was einfängst.

Ruhe Bewahren.
Wie lautet die vollständige Virenmeldung, Information/Details über den Schadcode mitteilen
in der Regel findet man die Infos über die installierte Antivirensoftware +
Welche Antivirensoftware wird eingesetzt und das Datum/Uhrzeit des letzten Updates.
Wen es möglich ist, diese Information immer mit angeben.

Tipp:
Einmal die Woche ein Backup durchführen.

Vorschlag:
Ich würde ja an deiner stelle, nach dem du alles untersucht hast
noch mal ein Logfile mit http://www.drwindows.de/viren-and-trojaner/36612-hijackthis.html erstellen, und dann hier Posten.
http://www.drwindows.de/dr-windows-intern/7033-wie-benutze-ich-die-praefixe-spoiler-funktion.html

Wichtig:
HijackThis als "Administrator installieren"und auch als "Admin ausführen".
Das Logfile kannst du zwar auch hier HijackThis Logfileauswertung
automatisch Auswerten lassen, aber erfahrungsgemäß ist es sinnvoller
wenn du die Infos aus dem Logfile bei uns im Forum durchchecken lässt..;)
 
Zuletzt bearbeitet:
ot:
Bei den Online-Virenscanner gibt es die Guten und die Bösen
die guten Scanner wurden ja oben schon genannt..

Aber leider gib es auch Scanner, die man besser nicht Benutzen sollte.
Falls ihr mal auf Scanner wie
>> nicescan.net << >> virtest.com << >> scan4you.net << trefft,
dann lasst da bloß die Finger von, denn diese Scanner werden auch häufig
von Schadcode Autoren genutzt/benutzt..
Meiden sollten Sie Online-Virenscanner wie virtest.com, nicescan.net und scan4you.net, die häufig von Virenautoren genutzt werden.
Zum Vergrößern anklicken....
Quelle: Chip
Vorsicht: Gefährliche Online-Virenscanner - News - CHIP Online
 
Zuletzt bearbeitet:
Um alle laufenden Prozesse von System Fix vorerst mal abzuschießen nutze bitte in Anhang System Fix Prozesse abschiessen.batch Datei. Dann erst die aufgezeigten Registrywerte ändern/anpassen. Dann gehts an Eingemachte, nämlich die Dateien zu entfernen, dazu ist es wichtig nicht den kompletten Pfad einzugeben, da du sonst erneut den Prozess wieder startest. Also immer nur den Pfad anzuwählen, vor der eigentlichen ausführenden .exe.

Über die Sucheingabe des Explorers solltest du alle notwendig zu löchenden exe finden, pass auf dass du diese nicht startest, sondern übers Kontextmenü löschst. Ausgeblendete Datei-Endungen zuvor anzeigen lassen & auch die ausgeblendeten Systemdateien (Orderoptionen).

Zu suchen sind alle diese Einträge
dSPEfJqNGav.exe
AnxAWyvzgmN5fQ.exe
ovLtSvlXCxH.exe
Wx7FHng4rJ4QFn.exe
RhsEkxxjfUhuhw.exe
POrAEHHCNGan.exe
lvvm.exe
java.exe
IoWwDnqsYPU.exe
gcM4SGa6XY2qLk.exe
B2C9A.exe
ABrSmUWHNf.exe
A2E36.exe
97E.exe
87B.exe
62D.exe
5EE61.exe
2492.exe
186.exe
%Temp%\smtmp\4
%Temp%\smtmp\3
%Temp%\smtmp\2
%Temp%\smtmp\1
%Temp%\smtmp\
%StartMenu%\Programs\System Fix\Uninstall System Fix.lnk
%StartMenu%\Programs\System Fix\System Fix.lnk
%StartMenu%\Programs\System Fix\
%Desktop%\System Fix.lnk
%AppData%\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
%AllUsersProfile%\[random].exe
%AllUsersProfile%\~[random]
5EE61.exe
ABrSmUWHNf.exe
gcM4SGa6XY2qLk.exe
87B.exe
RhsEkxxjfUhuhw.exe
java.exe
62D.exe
lvvm.exe
dSPEfJqNGav.exe
AnxAWyvzgmN5fQ.exe
2492.exe
A2E36.exe
186.exe
B2C9A.exe
97E.exe
IoWwDnqsYPU.exe
ovLtSvlXCxH.exe
Wx7FHng4rJ4QFn.exe
POrAEHHCNGan.exe
Nach und nach suchen und gleich immer Gefundenen sofort löschen

Lichjahre zu spät :(, keine Ahnung warum ich das als aktuellen Thread angezeigt bekommen habe :grr
LG
 

Anhänge

  • System Fix Prozesse abschiessen.zip
    440 Bytes · Aufrufe: 269
Zuletzt bearbeitet:
o.t.
@Elloh
So etwas kommt, wenn man immer nur arbeitet und auf's ausspannen vergisst ;) :D :ROFLMAO:
 
ot:
5sauer.gif Da magst du recht haben *grumel* ich mach mir jetzt einen Kaffee und ertränke mich im Coffein.
LG
 
ot:
[Klugscheißmodus an] Ein Lichtjahr sind ca. 9,5 Billionen km, denn das Licht lacht, äh macht in einer Sekunde knapp 300.000 km, ist also eine astronomische Längeneinheit und keine Zeiteinheit. [Klugscheißmodus aus]:D:ROFLMAO:
Das nächste Sonnensystem (Alpha Centauri) ist ca. 4,5 Lichtjahre von Unserem weg, also sportliche 42 Billionen Kilometer:D.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben