Schönen guten Abend,

bitte dringend um Hilfe da der Virus mein System flach legt und ich an nichts herankomme. Bin im Moment mitten im Abitur- auf dem Pc sind Dateien drauf die ich wahrscheinlich noch benötigen werde und welche ich nicht extra abgespeichert habe (eigene Blödheit).

1. Habe rkill.com durchgeführt, alle Prozesse vom Trojaner hörten sofort nach dem ersten Mal auf.

2. Habe Malewarebytes durchlaufen lassen: einige infizierte Dateien konnten wohl beseitigt werden, die Meldung, dass manche davon nicht gelöscht wurden kam jedoch auch. Log im Anhang

3. OTL habe ich ebenfalls durchlaufen lassen. Log Im Anhang



Freue mich über jede Hilfe

MfG

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danke

habe doch aber eigtl. schon alle Logs per Anhang gepostet?! habe mich vorher schon bei euch etwas schlau gemacht und habe alles durchlaufen lassen...
ich werde jetzt Malwarebytes einfach nochmal durchlaufen lassen

Hier nun ein weiterer Log von Malwarebytes... natürlich aktualisiert

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6158

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

24.03.2011 20:32:13
mbam-log-2011-03-24 (20-32-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155908
Laufzeit: 5 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hab Vollscan extra fett gepostet

Upps mein Fehler
eine weitere infizierte datei wurde gefunden, aber hier der Log:



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6158

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

24.03.2011 23:24:08
mbam-log-2011-03-24 (23-24-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 339945
Laufzeit: 1 Stunde(n), 20 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\martina\Desktop\handbuch\Meins\downloads\monopolie0.9.7-installer.exe (Adware.UCMore) -> Quarantined and deleted successfully.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKLM\..\Toolbar: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programme\Dealio Toolbar\IE\4.3\dealioToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic Deutsch Toolbar) - {8DBB6D8E-E4A6-4E3B-9753-AF78B226441C} - C:\Programme\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | -H-- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2002.09.16 15:08:36 | 000,176,128 | ---- | M] (Funatics Development) - D:\Autorun.exe -- [ NTFS ]
O33 - MountPoints2\{9d7380fa-3268-11df-9e7f-001f1607309d}\Shell\AutoRun\command - "" = G:\Menu.exe
O33 - MountPoints2\{e8511a56-3caa-11df-9317-001f1607309d}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
O33 - MountPoints2\{e8511a56-3caa-11df-9317-001f1607309d}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
O4 - HKCU..\Run: [CollaborationHost] C:\Windows\System32\p2phost.exe (Microsoft Corporation)
[2011.03.23 22:10:19 | 000,000,128 | -H-- | M] () -- C:\ProgramData\~43835144r
[2011.03.23 22:10:19 | 000,000,096 | -H-- | M] () -- C:\ProgramData\~43835144
[2011.03.21 23:42:05 | 000,000,593 | -H-- | M] () -- C:\Users\martina\Desktop\Windows Diagnostic.lnk
[2011.03.21 23:42:00 | 000,000,344 | -H-- | M] () -- C:\ProgramData\43835144
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So hab ich durchgeführt, hier der Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}\ deleted successfully.
C:\Programme\Dealio Toolbar\IE\4.3\dealioToolbarIE.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\ deleted successfully.
C:\Programme\Softonic_Deutsch\tbSoft.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}\ not found.
File C:\Programme\Softonic_Deutsch\tbSoft.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
D:\Autorun.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9d7380fa-3268-11df-9e7f-001f1607309d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9d7380fa-3268-11df-9e7f-001f1607309d}\ not found.
File G:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8511a56-3caa-11df-9317-001f1607309d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8511a56-3caa-11df-9317-001f1607309d}\ not found.
File F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8511a56-3caa-11df-9317-001f1607309d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8511a56-3caa-11df-9317-001f1607309d}\ not found.
File F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\CollaborationHost deleted successfully.
File move failed. C:\Windows\System32\p2phost.exe scheduled to be moved on reboot.
C:\ProgramData\~43835144r moved successfully.
C:\ProgramData\~43835144 moved successfully.
C:\Users\martina\Desktop\Windows Diagnostic.lnk moved successfully.
C:\ProgramData\43835144 moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: martina
->Temp folder emptied: 168847578 bytes
->Temporary Internet Files folder emptied: 184545027 bytes
->Java cache emptied: 76146082 bytes
->FireFox cache emptied: 60615565 bytes
->Google Chrome cache emptied: 6091264 bytes
->Flash cache emptied: 2934277 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1904486 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13083117894 bytes
RecycleBin emptied: 1141111086 bytes

Total Files Cleaned = 14.043,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03262011_150810

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\p2phost.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Heyyy Klasse die Dateien sind wieder daaaaaaaa

Der Log von Combo Fix ist per Anhang dabei:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html