[Robby-72]

So bei mir ist nicht nur die Internet Verbindung nicht mehr da, sogar meine Lizenzierung von XP hat sich verabschiedet :-(((( .

[yammay]

moin moin,
vor ca 11 stunden hat sich antivir solution pro bei mir auch gemeldet.
ich konnte es allerdings mit der beschriebenen methode über ausführen und systemkonfiguration gut deaktivieren und dann auch löschen. einzig das problem mit dem internet habe ich noch.
norton 360 hab ich nicht, gibt es noch keine anderen erfolgreichen versuche das internet wieder herzustellen (abgesehen vom plattmachen und win neuinstallieren...) ?
gruß
yammay


EDIT: also, ich weiß nicht wie es den anderen geht, aber im endeffekt funktioniert nur der browser nicht (icq, antivir updates etc funktionieren), also internet explorer , mozilla firefox oder was auch immer benutzt wird. ich hab dann mozilla deinstalliert, und dann halt einfach neu installiert. dann funktioniert alles wieder...

[KbMUC]

Hallo Forumsgemeinde,

mich hat gestern Abend diese Malware auch erwischt. Das ist das erste Mal in 15 Jahren, dass mir so etwas passiert. Die Panik war natürlich entsprechend groß. Keine exe ließ sich mehr öffnen. Die normalen Dateien konnte ich zwar sichern, aber die Outlook-pst nicht. Wie es halt meistens so ist, die letzte Sicherung war schon sechs Wochen alt.
Mit meiner Suche kam ich auch zuerst auf die hier auch schon angesprochenen Malwareseiten und habe mir auch den spyhunter bereits (auf einem anderen Rechner) runtergeladen, aber zum Glück noch nicht installiert. Irgendwie hatte ich ein ungutes Gefühl und kam mit meiner Suche auf Euer Forum.

Leider bin ich im Computerbereich nicht so fit (Unruheständler und Großvater), so dass ich einige Ausführungen nicht verstanden habe bzw. nicht so leicht umsetzen konnte. Der Knoopix-Vorschlag ist bestimmt super und ich habe mir die ISO-Datei bereits runtergeladen. Aber wie es dann weitergeht (wie wird gestartet, was muss ich dann machen usw.) wusste ich natürlich nicht. Dies soll aber kein Vorwurf sein, nein diese Info von spartan-b292 war deshalb sehr hilfreich, weil er mich zumindest etwas beruhigt hat, weil ich damit wieder Hoffnung hatte, an meine pst-Datei doch noch zu kommen. Glücklicherweise kam dann noch der Tipp von Sick818. Der war zum Glück auch für mich verständlich. Super - Danke!
In der Früh um fünf ging ich dann ins Bett und habe drei Stunden später wieder weitergemacht.

Da habe ich es dann mit dem Vorschlag von Sick818 versucht, weiß aber letztendlich nicht, wie es dann funktioniert hat. Irgendwie hat sich ein Fenster geöffnet, dass diese Änderung nur der Admin könne (der ich war). Hab dann Neustart durchgeführt und da kam eine Anzeige, dass ich die Standardeinstellungen wieder herstellen müsse. Bevor ich dies tat habe ich diese Malware-Datei unter Anwendungsdaten noch gelöscht (was vorher nicht ging, umbenennen brachte auch nichts). Dann habe ich eine rückwirkende Systemwiederherstellung gemacht, welche auch einwandfrei funktionierte und habe meine Outlook-Dateien gesichert, was einwandfrei ging. Outlook funktioniert wieder und das Internet auch. Eine Virenprüfung mit Avira verlief ohne besondere Erkenntnisse.

Ich möchte allen Beteiligten noch mal ganz herzlichen Dank sagen. Ganz besonders an spartan-b292 und sick818. Ohne Euch hätte ich 6 Wochen Outlook-Dateien verloren, was für mich wirklich schrecklich gewesen wäre, weil ich fast meinen ganzen Schriftverkehr über Outlook abwickle. Werde mir wohl da mal ein anderes Ablagesystem einfallen lassen müssen. Vielleicht ist es sinnvoll, alle eMail gleich separat, als normale Datei, abzulegen. Vielleicht hat jemand hierzu Erfahrung und eine Idee. Auch in welchem Format man die Dateien dann am besten ablegt. Wenn hier jemand einen Rat hätte, wäre das sehr nett.

Eine abschließende Frage hätte ich noch:
Muss ich bei den Dateien befürchten, dass diese irgendwie infiziert sind?
Das System setze ich auf jeden Fall neu auf. Dies ist ganz einfach, weil ich zum einen eine Recovery-Partition auf meinem Rechner habe und (wahrscheinlich noch besser) auf eine Acronis-Sicherung zurückgreifen kann.

Noch mal vielen Dank und viele Grüße aus München

Werner

[ylvie]

erstmal danke für die vielen tollen tipps!
hab mir den virus vorletzte nacht eingefangen und den ganzen gestrigen tag damit verbracht ihn irgendwie wieder los zu werden. hab leider nicht so die ahnung von pcs und suchte mir zunächst telefonische hilfe bei nem freund, der hatte zwar ein paar gute tipps aber geholfen haben die auch nicht wirklich. meine letzte rettung war dieses forum, auch wenn ich nur die hälfte von allem verstehe.
hab den virus auch unter dem von sick818 angegebenen pfad gefunden, der ordner hieß bei mir mifdfotwd und die datei hqoxalotssd.exe. wer sich für das deaktivieren im systemstart etwas zeit nehmen möchte, sollte windows im abgesicherten modus starten, da geht einem solution pro nämlich nicht auf die nerven
ansonsten besteht bei mir weiterhin das problem mit dem internet, trotz virenscan. mein avira antivir personal findet sowieso nix. hab den onlinescanner von eset drüberlaufen lassen, der hat gestern 1 trojaner gefunden und heute 6 trojaner/viren, die er in quarantäne verschoben und gelöscht hat. das internet läuft aber trotzdem nur, wenn ich den proxy deaktiviere. an dieser stelle kann mir sicherlich einer von euch sagen, wofür der überhaupt da ist und ob es sehr tragisch ist ohne im internet zu serven...
viele grüße

[spartan-b292]

Ein Proxy-http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29 ist das.

Bruachen tust du den überhaupt nicht, ich würde jetzt mal so als erste Idee darauf tippen dass Antivir den als Kommunikationsschnittstelle verwendet. Da Antivir jetzt nicht mehr da ist, ist auch der Proxy weg und du kannst dich über den nicht mehr ins Internet verbinden.

Na ja Datensichern neu aufsetzen!

[HLCSSAMSON]

Anonymous

[JonnY$CasH]

Ich hab das dreckige dingen auch seit gestern auf meinem PC und es scheint ja wie eine Welle eingetroffen zu haben.

Ich rate zu Programmen wie Ad Aware, die Spy und Malware sofort detecten und vernichten, nicht nur fuer kurze Zeit.

Zudem billigen Fake kommt hinzu, dass gerade von diesem Programm aus immer wieder seiten wie Viagra.com oder dickedinger.net geoeffnet werden.. auch das ist ziemlich laestig.


Klug ist wie vorher beschrieben, dass Programm schnellst moeglich auszuschalten, am besten ueber msconfig und es dann mit Ad Aware zu vernichten...

Ansonsten bleibt natuerlich nur Format C: doch da ich keine Speichermoeglichkeit habe kann ich unmoeglich Formatieren..^^

Viel glueck an alle die mit diesem Arsch Virus zu tun haben xD

[spartan-b292]

Hast du mit Ad Aware erfolgt gehabt und kontest Antivir Solution entfernen?

[JonnY$CasH]

Ich habe es so gemacht :


Rechner neustart

DIREKT nach dem Start von Windows den Taskmanager geoeffnet und gewartet.
Alles was VOR dem start von Antivir Solution Pro geschieht, kann es nicht veraendern... so scheints mir. Dann habe ich es in der Leiste unter einem fskfssf oder so etwas gefunden und beendet. Dann Ad Aware laufen lassen und ihn gekillt.

Ich habe nichts mehr auf meinem Rechner, Avira und Ad Aware geben beide gruenes Licht.



Edit : Ich lasse nebenbei im moment vorsichtshalber den Task Manager immer laufen, damit ich sofort agieren kann wenn der Arsch sich nochmal Installieren sollte... Bisher einwandfrei.

[ylvie]

@JonnY$CasH
naja, darauf würde ich mich nicht verlassen! avira hat bei mir auch nichts gefunden, obwohl der virus ja offensichtlich war...

[JonnY$CasH]

Avira ist fuer Spy und Malware gaenzlich falsch !

Ad Aware ist ein Programm was sich genau auf solche Viren spezialisiert und sie immer wieder gekonnt ausschaltet.

[tazegül]

hallöchen,
hier noch mal einige meisterfragen:
* bevor ich mit der knoppix-cd anfange, muss ich meine mir wichtig erscheinenden dateiordner und bilder erst einmal sichern?
* bei mir stand gestern bei meinem benutzer auch nichts von "lokalen einstellungen und anwendungsdaten"; woran liegt das und wie kann ich es ersehen? das ist doch beim booten wichtig oder damit ich die kotzigen viren entdecken kann?
* hinzukommt dass ich zum beispiel wenn ich bei den internetoptionen den verlauf lösche, nicht alle seiten gelöscht werden; liegt wohl auch an diesen parasiten?
* vielleicht noch zu allerletzt: könnt ihr lieben kurz die vorgehensweise beim booten erklären damit ich es schwarz auf weiß habe? vielen dank...

[spartan-b292]

Nein, sichern musst du da nichts, alles was du nicht löschst bleibt auf der Festplatte.

[Robby-72]

Auf:" Das Problem mit der fehlenden Internetverbindung im Browser ist nach meiner Meinung bloß eine Sache der Einstellungen, die von der Malware hervorgerufen wurde."

Ist richtig gewesen!!! Einstellung wieder neu gesetzt und alles läuft wieder. Nur das Schwein sitzt noch in der Temporary Internet Files und die kann ich nicht mehr löschen.

:-(((( hat da jemand eine Idee wie man sie löschen kann. Gruß robby-72...

[spartan-b292]

Erwähnte ich in diesem Threat eigentlich schon mal Knoppix zum löschen von Dateien die sich nicht mehr normal löschen lassen?

[harbok]

@spartan:

Du erwähntest es schon oft und die Ignoranz der anderen Threadteilnehmer ist schon wirklich bemerkenswert. Sie mühen sich lieber ab als eine 10 Minuten Lösung mit Linux zu unternehmen.

Allerdings muss man definitiv dazusagen, daß NTFS write support unter Linux noch immer wackelig und gefährlich ist. Da wäre man mit einem Windows-LiveCD-System wahrscheinlich 10mal besser unterwegs als knoppix zu benutzen und dann die Malware nebst seinem Dateisystem in die ewigen Jagdgründe zu befördern

[KbMUC]

Ich möchte noch ergänzen, dass ich auf Grund einiger Hinweise in diesem Thread Ad-Aware installiert habe. Dies hat auf dem infizierten (und derzeit einwandfrei laufenden Rechner) zwei gefährliche Cookies (obwohl ich mit Trax-Ex arbeite) und drei Trojaner entdeckt, die in Quarantäne verschoben wurden. Avira hat da gar nichts gefunden.
Bei Avira (siehe Forum) arbeiten sie seit heute auch an der Frage ob Antivir Solution Pro auch Rootkits installiert. Leider gibt es darüber noch keine Erkenntnisse.

[crazzy_guy]

Hallo zusammen

ich habe auch dieses problem.
habe den rechner jetzt mit knoppix gestartet und komme nicht weiter, bzw. ich weiss nicht wo ich genau nach der datei suchen soll und wie....bitte um hilfe

danke

[spartan-b292]

Hallo, unten müsste ein terminal sein das Symbol sieht etwa so aus >_ [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] unten links das 6- Symbol von links ist der Terminal.. Da gibst du mal nautilus ein. Dann öffnet sich der datei browser, da müsste links deine Platte angezeigt werden. Klappt das soweit?

[JonnY$CasH]

Ich frage mich auch warum man nicht einfach Ad Aware installiert, da es anscheinend auch bei anderen Leuten hilft, sowie bei mir.

Das Problem ist bisher nicht wieder aufgetaucht..

lg CasH.

[crazzy_guy]

also die platte zeigt es mir an aber hat auch ohne das terminal funktioniert die platte wird ja mit OS gekennzeichnet, oder?

[crazzy_guy]

und wie geht es jetzt weiter?

[spartan-b292]

Das dürfte es sein, sorry hab gerade kein Knoppix zur hand, guck doch einfach mal ob die Ordnerstruktur deiner Platte entspricht, dann dürfte sie das sein . Dann müsstest du nur noch im Threat gucken in welchem Pfad die Dateien bei anderen Usern waren, die suchst du dann und löschst sie einfcah

@Cash so wie ich das mitbekommen habe, ist es doch nicht mehr möglich was zu installieren, wenn man sich das Ding einmal eingefangen hat. Oder liege ich da jetzt falsch?

[crazzy_guy]

ja man kann nicht installieren und der task manager funzt auch nichtmehr....

[crazzy_guy]

....also irgendwie finde ich nichts was mir merkwürdig vorkommt....kann mir nochmal jemand beistehen?

[crazzy_guy]

...wenn mir jemand sagt wie ich einen printscreen mache kann ich ihn schicken.....oder vielleicht posten

[spartan-b292]

Drück mal auf die Drucktaste deiner Tastatur das müsste einen Screenshot auslösen.

[JonnY$CasH]

Sagt mal.. Lest ihr eigendlich was hier so gepostet wird ?


WENN man den Virus bereits auf der Platte hat, und er sich startet ist es fast unmoeglich ihn klein zu bekommen..

ALSO SIMPLE LOESUNG :

Windows start -> Direkt den Taskmanager Oeffnen -> Nach der Anwendung suchen ( meist fsskfsso oder aehnlich ) Und beenden. Danach ist es wieder einwandfrei moeglich sachen zu Installieren oder zu oeffnen. KEIN PROBLEM mehr.

Danach Ad Aware laufen lassen, und alles was man sonst noch so besitzt. Ad Aware hat bei mir aber vollkommen gereicht.

[crazzy_guy]

....habe ein bild gemacht aber ich kann es nicht einfügen, die funktion ist gesperrt.....und jetzt?

[crazzy_guy]

das mit dem task manager habe ich auch versucht, aber das klappt auch irgendwie nicht

[crazzy_guy]

[IMG]file:///home/knoppix/Desktop/Bildschirmfoto.png[/IMG]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[flabio]

so ich mal wieder (und das ganze Virenfrei):

- folgt den Anweisungen.... (egal ob Live-Linux, über cmd.exe, einem glücklicherweise vorhandenem 2. Betriebssystem auf eurem PC, oder.......) um auf dem bereits mehrfach erwähntem Pfad :

C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Anwendungsdaten\pryjfblyk\iixcnkytss d.exe

(wobei der Name jeweils variiert - wichtig ist die seltsame Buchstabenkombination im Ordner nach "Anwendungsdaten" und der Inhalt endet immer mit ...ssd.exe)

....um genau diesen Ordner inkl. .exe Inhalt zu löschen

- jetzt habt ihr erstmal wieder kontrolle über eure Daten und Programme

- also wichtige Daten sichern (sollte man eh öfter mal machen, falls so ein GAU eintritt)

- wer jetzt noch dringend ins Internet muss kann auf den Mozilla/Firefox zurückgreifen (Internetexplorer will wegen Proxy-Einstelungen ja nicht - kann, wer Ahnung hat auch neu konfiguriert werden - aber einfacher sind halt die Alternativen wie z.B. Firefox [den man sowieso immer zumindest als 2.Browser installiert haben sollte] - andere Browser habe ich nicht getestet)

- sind alle wichtigen Daten gesichert muss (bisher) der PC neu aufgesetzt werden

DER SCHEISS VIRUS STREUT - UNTER ANDEREM IN DIE TEMPS UND WER WEISS WO NOCH (MIT SICHERHEIT AUCH IN DIE REGISTRY]

alles klar??

-> ...ssd.exe + Überordner löschen
--> Daten sichern (aber bitte nur Musik, Filme, Dokumente.... - jede komplette Ordner oder Systemsicherung/Wiederherstellungspunkt usw. erhöht die Chance, gestreute Vireninhalte mitzusichern)
---> Pc neu installieren

und nach dem der PC neu aufgesetzt wurde, denkt daran regelmäßig eure Daten zu sichern, aktuelle Antiviren- UND!!! Malwareprodukte einzusetzen

Fazit:
ich bin jetzt seit 56k Modemzeiten im Internet unterwegs, bin etlichen Viren und Malwares begegnet und hab noch NIE so auf den Arsch bekommen wie diesmal!!

Kopf hoch, immer locker durch die Hose atmen und hoffen - für alle die nicht weiterkommen, wird mit sicherheit die nächsten Tage von den meisten Antivir und Antimalware-Herstellern reagiert und ein Removekitt angeboten - aber AUGEN AUF UND MITDENKEN/IM INTERNET NACHFORSCHEN --> nicht alle Anbieter sind seriös, u.U. fangt ihr euch (wie z. B. in den Negativ-Links erwähnt) eine zusätzliche Schadsoftware ein

Grüße

Edit:

Nachtrag:
wer den genannten Ordnerpfad nicht findet, muss vorher in der Systemsteuerung entsprechend die Einstellungen unter Orneroptionen verstellen

[JonnY$CasH]

So nach einiger vergangenen Zeit und einem erneuten Hochfahren von meinem Rechner kann ich nur sagen... ich bin anscheinend frei. Da ich den Internetexplorer eh niemals benutzt habe, werde ich es auch weiterhin nicht tun, nur zum Test aber habe ich ihn hochgefahren, und er funktioniert.

Ich habe Ad Aware jetzt genau wie Avira laufen, und ab und an, ( auf gewissen Websites ) will sofort i.was auf meine I.explorer exe zugreifen. Ich denke dabei handelt es sich um den Arsch mit dem wir uns beschaeftigen.

Vorallem auf seiten wie 3dl oder Youporn redtube etc laeuft der Virus wie ein guter verkaufs schlager.
Der Virus ist aufjedenfall ernst zu nehmen, aber fernhalten kann man ihn sich im moment WIRKLICH mit Ad Aware.

UND HALTET EUCH VON BELIEBTEN INTERNET SEITEN FERN, Internetseiten mit ueber 10 000 - X klicks am Tag sind besonders infiziert, und wie wir gelernt haben ist Avira machtlos gegen diesen Arsch.

[Y0SHI]

Hallo zusammen!
Erstmal auch von mir herzlichen Dank für die Tipps!
Ich schildere mal kurz meine Situation:
Da ich Windows Vista nutze konnte ich den Virus unter dem angegeben Pfad leider nicht finden, auch in msconfig>Systemstart konnte ich nichts verdächtiges feststellen.
Ich habe jetzt beim starten den Taskmanager aufgemacht und ihn so erwischt, musste allerdings in den abgesicherten Modus um ihn zu löschen anders gings irgendwie nicht.
Er war in:
C\Users\"benutzername"\AppData\Local\eqfpps...\hfo bkujtssd.exe

So nun habe ich aber noch das Problem mit der Internetverbindung:
Mails(outlook) kann ich abrufen aber der Internet Explorer funktioniert nicht.
Ich habe schon Firefox installiert aber der funktioniert auch nicht.
Jetzt habe ich Ad-aware runtergeladen und hoffe es damit irgendwie richten zu können.
Ich werde meinem Dad (ist sein PC) auf jeden fall empfehlen neu aufzusetzen aber im mom will er das noch nicht.
Wir nutzen den PC auch nicht über den Admin Account hilft das irgendwie oder ist das für die Katz?

Ich hoffe ich konnte jemandem helfen.

Grüßle Yoshi

[Y0SHI]

So ich habe jetzt die Proxy-Einstellungen geändert und alles funktioniert wieder.
Habe anschließend trotzdem noch Ad-Aware installiert... kann ja nicht schaden(hoff ich)

Danke an alle und viel Erfolg denen die noch mit dem Virus kämpfen.