Du musst alles Schritte im normalen Modus erledigen!

Zitat:

Zitat von kira

Du musst alles Schritte im normalen Modus erledigen!

Ja, wie denn? Im Normalmodus läuft fast nichts!

Der TDSKILLER zeigt jeweils 2 vierenbefallene Dateien im Normalmodus an, entfernt diese Dateien auch, dann aber beim nächsten Start findet er den gleichen Virus in jeweils einer neuen SYS-Datei.

Malwarebytes AntiVirus startet im Normalmodus NICHT einmal mehr (nur wenn man es deinstalliert und erneut installiert, dann aber nur einmal kurz, bis zum schnellen Absturz), die Fehlermeldung lautet "keine Rechte zum Zugriff" (oder so ähnlich, habe Windows Home, da fehlt die Rechtevergabe auf Dateiebene im Explorer, deswegen kann ich auch nicht rücksetzen). Ich nehme an der Virus kennzeichnet die Datei als nicht ausführbar (auch für den Admin nicht).

Nur der OTL läuft auch im Normalmodus. Protokoll darüber kommt im nächsten Posting (muss ich vom virenverseuchten Rechner schicken).
Grüsse
Olaf

Hier die protokolle von OTL.EXE

dann bleibt nicht anders übrig, als folgende Maßnahmen einzusetzen::

1.
Kaspersky Rescue Disk laufen lassen

2.
nach Anleitung vorgehen:-> MBR unter Vista oder Windows 7 reparieren

► berichte erneut über den Zustand des Computers.

Zitat:

Zitat von kira

dann bleibt nicht anders übrig, als folgende Maßnahmen einzusetzen::

1.
Kaspersky Rescue Disk laufen lassen

2.
nach Anleitung vorgehen:-> MBR unter Vista oder Windows 7 reparieren

2 Anmerkungen:
1) Mein Computer bootet noch (die Rescue Disk nimmt man wohl, wenn er nicht mehr bootet). Mein Netbook hat auch kein CD-Laufwerk, sodass das sowieso schwierig wäre, eine Disk einzulegen.
2) Ich arbeite mit Windows XP Home SP, nucht mit Vista ode Windows 7

Es handelt sich wohl nicht mehr um den Virus "patchload.o", dieser wurde wohl mittlerweile von irgendeinem zwischzeitlich laufengelassenen Tool entfernt, sondern um den Zaccess.e, der sich gegen Entfernungsveruche trickreich sträubt (Respekt, der Programmier dieses kriminellen Teils hat sich wohl viel Mühe gegeben!). Nicht einmal das Surfen auf einigen Antivirusboards geht mehr (dieses hier ist erlaubt)

Es handelt sich hier um ZeroAccess, das weiß ich wohl! Auf jeden Fall, Formatieren und Neuaufsetzten geht schneller als das System sauber zu bekommen!
Das Problem nämlich auch, dass das Rootkit im abges. Modus nicht auffind bzw löschbar...
kannst noch versuchen, wenn Du möchtest:

1.
Hast Du die Funde, die Malwarebytes gefunden hat löschen lassen?:
"No action taken"?

2.
ich würde das Programm deinstallieren:
BSPlayer <- Softwareart-> Adware

Zitat:

Einen Haken hat die kostenlose Variante des BSPlayers jedoch: Bei der Installation wird das Adware-Modul Whenu Save! installiert, ohne das der BSPlayer nicht ausgeführt werden kann. Dafür gibt es einen deutlichen Punktabzug

3.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "BS_Player Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q="
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=2&q="
[2011.10.10 02:15:44 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.10 02:15:44 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKCU..\Run: []  File not found
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Lokales Intranet)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell - "" = AutoRun
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun\command - "" = E:\LaunchU3.exe
[2011.10.10 23:41:28 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1125028078
[2011.10.10 23:41:27 | 000,048,016 | -HS- | M] () -- C:\WINDOWS\System32\c_32154.nl_
[2011.10.10 15:38:16 | 000,709,968 | ---- | M] () -- C:\WINDOWS\is-ERR1V.exe
[2011.10.06 18:23:41 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1125028078:292549052.exe

:Commands
[purity]
[emptytemp]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

3.
Versuche im normalen Betriebsmodus die Anwendungen erneut ausführen:

4.
Masterbootrecord neuschreiben:

Um die Wiederherstellungskonsole verwenden zu können, benötigst Du eine Windows- Installations-CD.
1. Lege die Installations-CD für Windows Vista in das CD-Laufwerk ein, und starte den Computer neu. Wähle die erforderlichen Optionen zum Starten (Booten) von der CD, falls Du dazu aufgefordert wirst
2. Folge den Anweisungen, wenn der textbasierte Teil des Setupvorgangs beginnt. Wähle die Option zum Reparieren bzw. Wiederherstellen, indem Du die R-TASTE drückst
3. Falls Sie ein Dualboot- oder Multibootsystem verwendest, wähle die gewünschte Installation aus, auf die Du mit der Wiederherstellungskonsole zugreifen möchtest
4. Gebe das Administratorkennwort ein, wenn Du dazu aufgefordert wirst
5. Gebe an der Eingabeaufforderung die Befehle der Wiederherstellungskonsole ein:
- da musst Du "fixmbr" eingeben/reinschreiben -> dann bestätigen
6. Warte bis der Vorgang beendet ist

5.
TDSSKiller von Kaspersky
Hier findest Du eine ausführlichere Anleitung.

6.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung