Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme

M-K-D-B · 14.06.2011, 18:55

Hallo Stefan,

Zitat:

Zitat von sbie

3. Beim entpacken RkU3.8.389.593.rar bekomme ich nur die RKUnhookerLE.EXE, kein Ordner und damit kein RKU3.8.388.590.exe (auch mit Suchfunktion nicht zu finden)
Was ist zu tun?

RKU stellen wir zurück, das muss ich erst abklären. Wir machen folgendes:

Schritt # 1: Störende Programme

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt # 2: GMER Rootkitscan
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 4: Benutzerdefinierter Scan mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

/md5start
iexplore.exe
services.exe
atapi.sys
/md5stop

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von GMER,
das Logfile von aswMBR,
das neue Logfile von OTL (OTL.txt) und
die Beantwortung der gestellten Fragen.

sbie · 14.06.2011, 22:51

Hallo M-K-D-B,

alles erledigt,
Schritt # 1: Störende Programme: Programm musste ich erst suchen... ausgeführt mit Admin, alle Resi Haken weg, Neustart

Schritt # 2: GMER Rootkitscan: dieses Programm muss ich immer 2* starten da das Programm beim 1. Versuch nach 1 bis 2 Minuten abbricht. Und wenn ich das Log nicht abspeichere muss ich nochmal Neustarten (und habe dabei leider AviraGuard noch laufen lassen). Aber Inet war abgestöpselt, alle anderen Programme gestoppt.
[CODE]
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-14 23:14:34
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3750528AS rev.CC44
Running: 3kz6y9k8.exe; Driver: C:\Users\xxxxx\AppData\Local\Temp\uglcifog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                           82C89569 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                    82CAE092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!UnhookWindowsHookEx       767DCC7B 5 Bytes  JMP 6D4383A2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CallNextHookEx            767DCC8F 5 Bytes  JMP 6D419D94 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CreateWindowExW           767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!SetWindowsHookExW         767E210A 5 Bytes  JMP 6D3D463B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamW   76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamW           7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamA           7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamA   7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectA       7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectW       7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExA             7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExW             7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!OleLoadFromStream          76D25BF6 5 Bytes  JMP 6D55022B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!CoCreateInstance           76D7590C 5 Bytes  JMP 6D428C85 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersA   76A09ABA 5 Bytes  JMP 01D06B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersW   76A10848 5 Bytes  JMP 01D06D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WS2_32.dll!gethostbyname             765D7133 5 Bytes  JMP 01DB000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!CreateWindowExW          767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamW  76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamW          7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamA          7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamA  7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectA      7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectW      7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExA            7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExW            7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersA  76A09ABA 5 Bytes  JMP 00826B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersW  76A10848 5 Bytes  JMP 00826D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!closesocket              765C3BED 5 Bytes  JMP 0064000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!recv                     765C47DF 5 Bytes  JMP 0060000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!connect                  765C48BE 5 Bytes  JMP 0061000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!getaddrinfo              765C6737 5 Bytes  JMP 0089000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!send                     765CC4C8 5 Bytes  JMP 0065000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!gethostbyname            765D7133 5 Bytes  JMP 0088000A 

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:252]                                                                            864B4E7A
Thread          System [4:256]                                                                            864B7008

---- EOF - GMER 1.0.15 ----

--- --- ---

Schritt # 3: aswMBR.exe ausführen
Log:

Code:

ATTFilter

aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-14 23:19:23
-----------------------------
23:19:23.056    OS Version: Windows 6.1.7600 
23:19:23.056    Number of processors: 2 586 0x170A
23:19:23.056    ComputerName: MEDIONE4100D  UserName: xxxxx
23:19:35.052    Initialize success
23:19:51.136    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
23:19:51.152    Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
23:19:53.180    Disk 0 MBR read successfully
23:19:53.195    Disk 0 MBR scan
23:19:53.195    Disk 0 unknown MBR code
23:19:55.208    Disk 0 scanning sectors +1465145344
23:19:55.254    Disk 0 scanning C:\Windows\system32\drivers
23:20:01.713    Service scanning
23:20:04.302    Disk 0 trace - called modules:
23:20:04.302    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x862af1ed]<<
23:20:04.302    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8627e030]
23:20:04.318    3 CLASSPNP.SYS[8b18359e] -> nt!IofCallDriver -> [0x85d86918]
23:20:04.318    5 ACPI.sys[8acb33b2] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85dcb338]
23:20:04.318    \Driver\atapi[0x85d814f0] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x862af1ed
23:20:04.833    Scan finished successfully
23:20:25.347    Disk 0 MBR has been saved successfully to "C:\Users\xxxx\Desktop\MBR.dat"
23:20:25.362    The log file has been saved successfully to "C:\Users\xxxx\Desktop\aswMBR.txt"

Schritt # 4: Benutzerdefinierter Scan mit OTL
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 14.06.2011 23:26:40 - Run 7
OTL by OldTimer - Version 3.2.24.0     Folder = C:\Users\xxxx\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 67,98% Memory free
5,74 Gb Paging File | 4,76 Gb Available in Paging File | 82,95% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 677,54 Gb Total Space | 522,01 Gb Free Space | 77,05% Space Free | Partition Type: NTFS
Drive D: | 20,00 Gb Total Space | 12,94 Gb Free Space | 64,68% Space Free | Partition Type: NTFS
 
Computer Name: MEDIONE4100D | User Name: xxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
 
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\ERDNT\cache\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys
 
< MD5 for: IEXPLORE.EXE  >
[2010.09.08 06:36:39 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=14803EA3E5DD7CB37CB446C74CFDA38F -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20795_none_b3c5cc459f4108f2\iexplore.exe
[2009.07.14 03:17:29 | 000,673,048 | ---- | M] (Microsoft Corporation) MD5=2C32E3E596CFE660353753EABEFB0540 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16385_none_b346f9b4861b55c2\iexplore.exe
[2010.11.04 07:54:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=58CF468D3FF4CF830339FE5E45356355 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16700_none_b3987f3a85deec23\iexplore.exe
[2010.09.08 06:31:24 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=61EDBCE47ADF3E52AB0B9F49EE4AEBB8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16671_none_b34dce2a8616cbea\iexplore.exe
[2010.11.04 07:54:59 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=6B2258FF6D2332073FE9E90122FA4168 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20831_none_b402ac8b9f13f917\iexplore.exe
[2010.12.18 07:32:25 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=9321CF0D023528C71E3645F8433C86C8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20861_none_b3e23cc79f2c4cea\iexplore.exe
[2010.12.18 07:33:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AA08B68EF4E35EFA170CF85A44B23B70 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16722_none_b384dff685ed56b3\iexplore.exe
[2011.02.24 07:45:11 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AB2BB40A5FE49AD236791AC22BD08869 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20908_none_b42a203b9ef553cc\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Programme\Internet Explorer\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\ERDNT\cache\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16766_none_b35da16e860a2bd3\iexplore.exe
 
< MD5 for: SERVICES.EXE  >
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\ERDNT\cache\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\System32\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

< End of report >

--- --- ---

Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit? Oberflächlich keine Probleme, nach Neustart lange Zeit Festplattenaktivitäten, nach Neustart immer 2 IE Prozesse im Taskmanager zu sehen.
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)? Nö, ich mach ja nichts mehr anderes, meine Tochter kann ich erst morgen fragen.

Schritt # 6: Deine Rückmeldung
Ist nun fertig.

Gruß, Stefan

M-K-D-B · 15.06.2011, 08:49

Hallo Stefan,

ich möchte noch den MBR überprüfen.

Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert? Eventuell eine andere Windows Version, Linux oder Ähnliches?

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des TDSS Killers,
das Logfile von MBRCheck und
die Beantwortung der gestellten Fragen.

sbie · 15.06.2011, 18:36

Hallo M-K-D-B,

Ich möchte ja, aber das Programm startet nicht.
Schritt # 1: TDSS Killer ausführen
tdsskiller.exe
TDSS rootkit removing tool
Version 2.5.4.0

Habs probiert mit Kompatibilität XP3, XP2, NT5, Vista

Vorab:
Schritt # 3: Fragen beantworten: Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert?
Nein, nichts davon, auch nichts ähnliches.

Wenn Du mir erzählst wie ich Bilder einfüge kann ich dír auch meine Taskliste geben, vielleicht hilfst ja.

Aber, Was ist nun zu tun?
Gruß, Stefan

sbie · 15.06.2011, 20:48

Hallo,

habe schon einmal weitergemacht,
Schritt # 2: Scan mit MBRCheck
hier das Log

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Home Premium Edition
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	MEDIONPC
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		MEDIONPC
System Product Name:		MS-7633
Logical Drives Mask:		0x000001dc

Kernel Drivers (total 183):
  0x82C04000 \SystemRoot\system32\ntkrnlpa.exe
  0x83014000 \SystemRoot\system32\halmacpi.dll
  0x80BB6000 \SystemRoot\system32\kdcom.dll
  0x83226000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8329E000 \SystemRoot\system32\PSHED.dll
  0x832AF000 \SystemRoot\system32\BOOTVID.dll
  0x832B7000 \SystemRoot\system32\CLFS.SYS
  0x832F9000 \SystemRoot\system32\CI.dll
  0x8AC28000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8AC99000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8ACA7000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8ACEF000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x8ACF8000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8AD00000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8AD2A000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8AD35000 \SystemRoot\System32\drivers\partmgr.sys
  0x8AD46000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8AD56000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8ADA1000 \SystemRoot\system32\DRIVERS\intelide.sys
  0x8ADA8000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8ADB6000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8ADCC000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8ADD5000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8AC00000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x833A4000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8AC09000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8AE01000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8AF30000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8AF5B000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8AF6E000 \SystemRoot\System32\Drivers\cng.sys
  0x8AFCB000 \SystemRoot\System32\drivers\pcw.sys
  0x8AFD9000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8B02B000 \SystemRoot\system32\drivers\ndis.sys
  0x8B0E2000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8B120000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8B235000 \SystemRoot\System32\drivers\tcpip.sys
  0x8B37E000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8B3AF000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8B3EE000 \SystemRoot\System32\Drivers\spldr.sys
  0x8B200000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8B145000 \SystemRoot\System32\Drivers\mup.sys
  0x8B22D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8B155000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8B187000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8B198000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8B000000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8B01F000 \SystemRoot\System32\Drivers\Null.SYS
  0x8B1E6000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8B1ED000 \SystemRoot\System32\drivers\vga.sys
  0x833D8000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8AFE2000 \SystemRoot\System32\drivers\watchdog.sys
  0x8AFEF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8AFF7000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8AC1A000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x83200000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8320B000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x90634000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x9064B000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x90656000 \SystemRoot\system32\drivers\afd.sys
  0x906B0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x906E2000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x906E9000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x90708000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x90719000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x90727000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x9073A000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x9074A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x90750000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
  0x90772000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
  0x90778000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x907B9000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x907C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x907CD000 \SystemRoot\System32\drivers\discache.sys
  0x907D9000 \SystemRoot\System32\Drivers\dfsc.sys
  0x907F1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x90600000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x90435000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x90456000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x9122B000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
  0x91B48000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x90468000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x91200000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x904A1000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x9121F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x904DD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x90528000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x90537000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x9054F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x9055C000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x90569000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x9057B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x90593000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x9059E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x905C0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x905D8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x90400000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x90417000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x90424000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x9620F000 \SystemRoot\system32\DRIVERS\ks.sys
  0x96243000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x96251000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x96295000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x97414000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x97700000 \SystemRoot\system32\drivers\portcls.sys
  0x9772F000 \SystemRoot\system32\drivers\drmk.sys
  0x97748000 \SystemRoot\system32\drivers\IntcHdmi.sys
  0x9776B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x97776000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x97789000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x97790000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x97792000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x98580000 \SystemRoot\System32\win32k.sys
  0x9779D000 \SystemRoot\System32\drivers\Dxapi.sys
  0x977A7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x977BE000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x977CB000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x977D6000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x977DF000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x962A6000 \SystemRoot\system32\DRIVERS\dvb7700all.sys
  0x977F0000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
  0x977F3000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x987E0000 \SystemRoot\System32\TSDDD.dll
  0x9632F000 \SystemRoot\system32\drivers\luafv.sys
  0x9634A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x9635F000 \SystemRoot\system32\drivers\WudfPf.sys
  0x97400000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x96379000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x963BF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x963CF000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9560F000 \SystemRoot\system32\drivers\HTTP.sys
  0x95694000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x956AD000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x956BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x956E2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9571D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x95750000 \SystemRoot\system32\drivers\peauth.sys
  0x957E7000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x8B1BD000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x957F1000 \SystemRoot\System32\drivers\tcpipreg.sys
  0xAD212000 \SystemRoot\System32\DRIVERS\srv2.sys
  0xAD261000 \SystemRoot\System32\DRIVERS\srv.sys
  0xAD2B3000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0xAD33E000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x984E0000 \SystemRoot\System32\cdd.dll
  0x76E50000 \Windows\System32\ntdll.dll
  0x47890000 \Windows\System32\smss.exe
  0x77090000 \Windows\System32\apisetschema.dll
  0x007F0000 \Windows\System32\autochk.exe
  0x76200000 \Windows\System32\shell32.dll
  0x77060000 \Windows\System32\sechost.dll
  0x77050000 \Windows\System32\lpk.dll
  0x77020000 \Windows\System32\imagehlp.dll
  0x76F90000 \Windows\System32\oleaut32.dll
  0x76150000 \Windows\System32\rpcrt4.dll
  0x76100000 \Windows\System32\gdi32.dll
  0x760E0000 \Windows\System32\imm32.dll
  0x76060000 \Windows\System32\comdlg32.dll
  0x75FC0000 \Windows\System32\usp10.dll
  0x75FB0000 \Windows\System32\psapi.dll
  0x75ED0000 \Windows\System32\kernel32.dll
  0x75E70000 \Windows\System32\difxapi.dll
  0x75E20000 \Windows\System32\Wldap32.dll
  0x75D20000 \Windows\System32\wininet.dll
  0x75C50000 \Windows\System32\user32.dll
  0x75AF0000 \Windows\System32\ole32.dll
  0x75AB0000 \Windows\System32\ws2_32.dll
  0x75A20000 \Windows\System32\clbcatq.dll
  0x75950000 \Windows\System32\msctf.dll
  0x75940000 \Windows\System32\normaliz.dll
  0x75740000 \Windows\System32\iertutil.dll
  0x755A0000 \Windows\System32\setupapi.dll
  0x75590000 \Windows\System32\nsi.dll
  0x754E0000 \Windows\System32\msvcrt.dll
  0x75480000 \Windows\System32\shlwapi.dll
  0x753E0000 \Windows\System32\advapi32.dll
  0x752A0000 \Windows\System32\urlmon.dll
  0x75270000 \Windows\System32\wintrust.dll
  0x75150000 \Windows\System32\crypt32.dll
  0x75100000 \Windows\System32\KernelBase.dll
  0x750E0000 \Windows\System32\devobj.dll
  0x750B0000 \Windows\System32\cfgmgr32.dll
  0x75020000 \Windows\System32\comctl32.dll
  0x75010000 \Windows\System32\msasn1.dll

Processes (total 58):
       0 System Idle Process
       4 System
     288 C:\Windows\System32\smss.exe
     440 csrss.exe
     492 C:\Windows\System32\wininit.exe
     500 csrss.exe
     540 C:\Windows\System32\services.exe
     572 C:\Windows\System32\lsass.exe
     588 C:\Windows\System32\lsm.exe
     596 C:\Windows\System32\winlogon.exe
     744 C:\Windows\System32\svchost.exe
     844 C:\Windows\System32\svchost.exe
     896 C:\Windows\System32\svchost.exe
    1008 C:\Windows\System32\svchost.exe
    1044 C:\Windows\System32\svchost.exe
    1172 C:\Windows\System32\svchost.exe
    1320 C:\Windows\System32\svchost.exe
    1484 C:\Windows\System32\spoolsv.exe
    1512 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1532 C:\Windows\System32\svchost.exe
    1652 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1680 C:\Program Files\Microsoft\BingBar\SeaPort.EXE
    1728 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
    1776 C:\Windows\System32\svchost.exe
    1824 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1844 C:\Windows\System32\conhost.exe
    1860 C:\Windows\System32\svchost.exe
    1952 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
    1240 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
    2272 C:\Windows\System32\taskhost.exe
    2336 C:\Windows\System32\dwm.exe
    2376 C:\Windows\explorer.exe
    2692 C:\Windows\System32\SearchIndexer.exe
    2840 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
    2916 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    2928 WUDFHost.exe
    2940 C:\Program Files\FreePDF_XP\fpassist.exe
    3028 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3240 C:\Windows\System32\igfxtray.exe
    3288 C:\Windows\System32\hkcmd.exe
    3336 C:\Windows\System32\igfxpers.exe
    3368 C:\Program Files\Windows Sidebar\sidebar.exe
    3428 C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
    3608 C:\Program Files\OpenOffice.org 3\program\soffice.exe
    3632 C:\Program Files\OpenOffice.org 3\program\soffice.bin
    1188 C:\Windows\System32\svchost.exe
    2572 C:\Program Files\Windows Media Player\wmpnetwk.exe
     196 C:\Windows\System32\svchost.exe
     780 dllhost.exe
    2504 C:\Program Files\Internet Explorer\iexplore.exe
    1100 C:\Program Files\Internet Explorer\iexplore.exe
     684 C:\Windows\System32\audiodg.exe
    4432 C:\Program Files\Microsoft\BingBar\BBSvc.EXE
    1292 C:\Windows\System32\svchost.exe
    5480 C:\Windows\System32\SearchProtocolHost.exe
    2128 C:\Windows\System32\SearchFilterHost.exe
    1428 C:\Users\Stefan\Desktop\MBRCheck.exe
    2512 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000a9`68a00000  (NTFS)

PhysicalDrive0 Model Number: ST3750528AS, Rev: CC44    

      Size  Device Name          MBR Status
  --------------------------------------------
    698 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 3F8AC3F12FB8BFA1FDEFC08938762E6080784F16


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!

Found non-standard or infected MBR.

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)

Gruß, Stefan

M-K-D-B · 16.06.2011, 09:53

Hallo Stefan,

Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.

Zitat:

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)

Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst.

Versuche bitte noch folgendes:

Schritt # 1: Windows im abgesicherten Modus starten
Starte bitte dein Windws 7 im abgesicherten Modus.

Und führe nun den TDSS-Killer nochmals im abgesicherten Modus vom Desktop aus:

Schritt # 2: TDSS Killer ausführen

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Starte deinen Rechner neu auf.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die genaue Fehlermeldung des TDSS-Killers,
das Logfile des TDSS-Killers,

sbie · 16.06.2011, 17:00

Hallo M-K-D-B,

Zitat:

Zitat von M-K-D-B

Hallo Stefan,
Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Keine Textdatei, leider nicht.

Zitat:

Zitat von M-K-D-B

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Keine Fehlermeldung, kein Start des Programmes, keine Möglichkeit etwas auszuwählen.

Zitat:

Zitat von M-K-D-B

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.

OK

Zitat:

Zitat von M-K-D-B

>>Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)<<
Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst.

Klar habe ich das Programm auf dem Desktop abgespeichert und versucht zu starten.
Damit meine ich, ich habe das Programm autoruns.exe, dieses zeigt einen Liste (kennst Du hundertpro) mit z.B. den Programmen die bei Rechnerstart ausgeführt werden usw. In der Liste fand ich dann unter dem Punkt Scheduled Tasks diese 4 Einträge.
Dieses sind die Einträge
\{17BC5798-2118-4963-9B20-5C7238DE7D37} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{9D526A73-F749-4B5D-B20D-66D123B020C1} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{EF1B8592-03D4-4C87-859E-0F399CACEB92} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{F99817D0-FC7C-4548-B781-9A7F1DE873D2} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe

Wobei xxxx mein User ist.
Ich lege nun mit den nächsten 3 Schritten los.

Gruß, Stefan

Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme

Plagegeister aller Art und deren Bekämpfung: Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme