Registrierung
leer
leer
newposts
Users
search
FAQ
Login
Start

Hallo Gast, und Willkommen im Forum. Sie müssen sich einloggen oder registrieren, um alle Funktionen nutzen zu können.


PN's Forum \ Computer \ Software \ Betriebssysteme \ Windows \ Virusbefall durch "Windows Power Expansion"


Arc-Fighter *

#1 Verfasst am 27.03.2011, um 11:55:55



Einen wunderbaren Sonntag wünsche ich euch, auch wenn meiner eher weniger gut ist.

Man denkt sich nichts dabei, möchte nur ein Video im Netz anklicken (von einem Bekannten geschickt) und schwupps soll man seinen Adobe Flash Player upgraden. Gesagt, getan (seit wann mache ich das bitte so leichtfertig?) und schon hat man sich den Trojaner eingefangen.

Einige Programm wie GridinSoft Trojan Killer sind wohl nett gemeint, sind aber im Endeffekt auch nur Abzocke und führen zu wenig. Auch http://www.dennis-paulig.de/virus.html <- dieses Programm konnte mir nicht helfen, da es die angegebenen Pfade nicht erkennen konnte.

Den Virus selbst konnte ich durch Umbennenen zweier .exen erst einmal blockieren, doch wie ENTFERNE ich ihn nun ENDGÜLTIG?

AntiVir und auch Kasperspy scheinen nichts gefunden zu haben, sodass ich langsam am verzweifeln bin.


Zur eventuellen Hilfestellung habe ich einmal den Report von GridinSofts Trojan Killer beigefügt:
Letztgenannte .exen habe ich inzwischen entfernt. Doch auf die restlichen Viren habe ich keinerlei Zugriff und weiß auch nicht wirklich, welche MSASCui.exe die verseuchte ist (zwei sind da, nur welche ist die richtige?). Habe es mit dem Security Task Manager probiert, doch der wollte mir nicht helfen (oder ich bin auf gut Deutsch: zu blöd dazu), hat er mir doch sogar meine explorer.exe als zu 42% gefährlich eingestuft.


>>>>"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe ---- Registry
Hijack.Security


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe ---- Registry
Security.Hijack


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe ---- Registry
Security.Hijack


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe ---- Registry
Security.Hijack


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe ---- Registry
Security.Hijack


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe ---- Registry
Trojan.Agent


----- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe ---- Registry
Trojan.Agent


----- C:\Users\immo\AppData\Roaming\Microsoft\123.exe ---- General
Mal/Fraud!se847-3
MD5: BEB94CEB12DDD1B3DFBAD7DFC1B98D5D:2295808
EP: 68 01 E0 7C 00 E8 01 00 00 00 C3 C3 29 72 EC 05 FF 81 9E AD 8F 6E 00 0F F9 70 3C A2 F1 E6 24 BE 1F D2 53 4E 30 3C CF B1 72 1E 36 14 74 3E 77 7E 5F 3A AE 52 1E 15 63 36 C5 97 CB 0E 5A 7D 3D 6A 9F
SEC:
:7AFC7E214BC93B2B2A8EB0B84B6A4D2E:692224
:09E4DA8584D13AE2829AED32B2C63CDF:37376
:BF619EAC0CDF3F68D496EA9344137E8B:512
:52D8130EA89A7EFF80031C78C6A12CB7:512
:2CC2DC6216E7F824201716C193023827:30208
:26F91A5B8589387405E12DB638261A3D:512
.rsrc:2F17DCD1C83008C7FCFB5184002779A3:1142784
.sys:C99C5F1DCC188A81BCA355954E91E051:390144
.adata:00000000000000000000000000000000:0


----- C:\Users\immo\AppData\Roaming\Microsoft\1234.exe ---- General
Mal/Fraud!se847-3
MD5: BEB94CEB12DDD1B3DFBAD7DFC1B98D5D:2295808
EP: 68 01 E0 7C 00 E8 01 00 00 00 C3 C3 29 72 EC 05 FF 81 9E AD 8F 6E 00 0F F9 70 3C A2 F1 E6 24 BE 1F D2 53 4E 30 3C CF B1 72 1E 36 14 74 3E 77 7E 5F 3A AE 52 1E 15 63 36 C5 97 CB 0E 5A 7D 3D 6A 9F
SEC:
:7AFC7E214BC93B2B2A8EB0B84B6A4D2E:692224
:09E4DA8584D13AE2829AED32B2C63CDF:37376
:BF619EAC0CDF3F68D496EA9344137E8B:512
:52D8130EA89A7EFF80031C78C6A12CB7:512
:2CC2DC6216E7F824201716C193023827:30208
:26F91A5B8589387405E12DB638261A3D:512
.rsrc:2F17DCD1C83008C7FCFB5184002779A3:1142784
.sys:C99C5F1DCC188A81BCA355954E91E051:390144
.adata:00000000000000000000000000000000:0


Scan completed!

Scan result: 9 detected items"<<<<


Ich bitte um schnelle Hilfe und bedanke mich im Voraus! ...Ich weiß doch, wie kompetent ihr seid.


---Nur der Geduldige wird belohnt---

 Poison Nuke 

#2 Verfasst am 27.03.2011, um 12:21:01



also wenn ich ehrlich bin, wenn ich feststelle das bei mir eine Windows-Büchse sich erkältet hat, dann hab ich keine Gnade und mach die Kiste platt, auch wenn mich das zig Stunden Arbeit kostet, vor allem weil mein letztes Image von meinem Windows mindestens ein Jahr alt ist und ich im Endeffekt alle Programme neu installieren muss.


Nur das Problem ist, wenn ein Programmierer es drauf anlegt, dann wird er es immer schaffen, da noch etwas versteckt zu halten in den weiten Wegen von Windows, wo er einfach nicht gefunden wird. Dazu ist das OS zu komplex geworden. Es reicht ja teilweise schon, wenn bestimmte Programme gegen veränderte Versionen ausgetauscht werden, welche von einem Virenscanner nicht erkannt werden.





verwendest du eigentlich Microsoft Security Essentials? Weil die ersten drei exen in der Registry sind normalerweise von dieser Software. Scheint sich also so zu tarnen zu versuchen.

In welchem Verzeichnis liegen diese exen denn?


greetz
Poison Nuke

Arc-Fighter *

#3 Verfasst am 27.03.2011, um 12:35:03




Poison Nuke schrieb:

verwendest du eigentlich Microsoft Security Essentials? Weil die ersten drei exen in der Registry sind normalerweise von dieser Software. Scheint sich also so zu tarnen zu versuchen.

In welchem Verzeichnis liegen diese exen denn?



Nicht das ich wüsste. Das Verzeichnis (zumindest mal für diese MSASCui.exe) ist auf alle Fälle folgendes: C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_b3b1a27171e01f6c und befindet sich damit im Ordner für Windows Malware-Defender Software.

Doch in diesem Wirrwarr gibt es unzählige Ordner, sodass ich als Laie nicht in der Lage bin, die verdammten Viecher so schnell auszumachen.

Vielleicht sollte ich wirklich die Festplatte mit dem BS plätten und Win7 neu installieren. Zwar nervig, sämtliche Programme und Treiber auf's Neue zu installieren (ich habe dieses Spiel mit meinem "super" Rechner ja inzwischen oft genug durch), aber das scheint wohl die sicherste Variante zu sein.


---Nur der Geduldige wird belohnt---

 Poison Nuke 

#4 Verfasst am 27.03.2011, um 13:09:26



also der WinSXS Ordner ist ein essentieller (um nicht zu sagen, DER essentiellste) Ordner von Windows, in dem eigentlich keine befallenen Dateien zu erwarten sein sollten. Aber kann auch gut sein, dass ein Virus das als Deckmantel für sich ausnutzt. Ich weiß leider nicht, wie Microsoft den Ordner geschützt hat, bzw ob dessen Inhalt geprüft wird.


greetz
Poison Nuke

Arc-Fighter *

#5 Verfasst am 27.03.2011, um 13:11:07



Dann also doch lieber die gesamte Festplatte formatieren, ja? Sobald ich deinen Segen dafür habe, geht's auch direkt los, damit ich wieder beruhigt arbeiten kann.


---Nur der Geduldige wird belohnt---

 Poison Nuke 

#6 Verfasst am 27.03.2011, um 13:13:21



es ist in jedem Fall die sauberste Lösung.

Wenn du eine zweite Festplatte hast würde ich dir dann noch empfehlen, mit einer LiveCD dann ein Image zu erstellen dass auf der zweiten HDD gespeichert wird, nachdem du alle wichtigen Programme und Einstellungen gemacht hast. Und ab und an vllt mal ein neues Image erstellen (ohne das alte zu löschen, man weiß nie ob der Rechner zwischendurch dann doch mal infiziert wurde).


greetz
Poison Nuke

PN's Forum \ Computer \ Software \ Betriebssysteme \ Windows \ Virusbefall durch "Windows Power Expansion"


- Zurück zur Homepage - Eigene Beiträge - Neue Beiträge - Wer ist online? - Impressum - Nutzungsbedingungen - Statistiken -



Board coded and provided by: Poison Nuke
Copyright 2007-2014, Robert Menger