Vor ca. einer Stunde wurde der Bildschirm meines Laptops dunkel und es erschien eine Box die sinngemäß etwa Folgendes sagte: Ihr Computer hat einen Virus, sie müssen eine Software zum Preis von 50€ kaufen um das Problem zu beheben. Einzige Option war ein Button mit der Aufschrift "Bezahlen und Herunterladen" (oder ähnlich). Ich hab mich schon im Forum umgesehen und da der abgesicherte Modus mit Netzwerkverbindung funktioniert habe ich auch OTL.exe heruntergeladen, bin mir aber nicht sicher wie genau ich den Scan vornehmen soll.
Im Anhang befindet sich die DDS.txt Datei die man laut Forumregel beizufügen hat (soweit ich das verstanden habe).
Würde mich über eure Hilfe sehr freuen, ansonsten bin ich ein wenig aufgeschmissen.

hi, neustart, f8 drücken, abgesicherter modus mit netzwerk wählen, im betroffenen konto anmelden, internet verbindung herstellen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Ich weiß nicht ob ich was falsch mache:
- Habe den oben stehenden Code in das Fenster kopiert.
- Habe alle Programme geschlossen.
- Quick scan gestartet.
Aber es entsteht nur eine OTL.exe Datei und keine Extra.txt Datei.
Im Anhang die OTL.exe Datei.
Danke !

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [{1B275BC5-C4AF-11E0-9497-806E6F6E6963}] C:\Users\Tim\AppData\Roaming\Microsoft\torrent.exe ()

 :Files
C:\Users\Tim\AppData\Roaming\Microsoft\torrent.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{1B275BC5-C4AF-11E0-9497-806E6F6E6963} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1B275BC5-C4AF-11E0-9497-806E6F6E6963}\ not found.
C:\Users\Tim\AppData\Roaming\Microsoft\torrent.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56504 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Tim
->Flash cache emptied: 91674 bytes

Total Flash Files Cleaned = 0.00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Tim
->Temp folder emptied: 3118200166 bytes
->Temporary Internet Files folder emptied: 204035702 bytes
->Java cache emptied: 14 bytes
->Apple Safari cache emptied: 176883712 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 104171640 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 53187 bytes
RecycleBin emptied: 9994677339 bytes

Total Files Cleaned = 12,968.00 mb


OTL by OldTimer - Version 3.2.33.2 log created on 02242012_164455

Files\Folders moved on Reboot...
C:\Users\Tim\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Ich hoffe ich habe alles richtig gemacht.
Habe die zip.Datei im Upload Channel hochgeladen, es gab keine Probleme, zumindest stand da "Upload/Vorgang erfolgreich abgeschlossen", oder so ähnlich.

Ist der Virus jetzt ganz weg ? (Zumindest funktioniert jetzt ja alles wieder)
Falls ja möchte ich mich bei allen fleißigen Helfern herzlich bedanken und euch jetzt nicht mehr zur Last fallen, falls nicht hoffe ich, dass ihr weiterhin so hilfsbereit bleibt.

Dickes Lob ans Forum =)

jepp, ist angekommen danke.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Der Upload hat ohne Probleme geklappt =)
Bin ich jetzt durch ?
Vielen dank für die Hilfe =)

Hier die ComboFix.txt Datei, allerdings funktioniert mein Pc jetzt nichtmehr ganz so wie er sollte, stand ja auch in den Informationen ^^

du bist der erste, nach mir, der erfährt wann wir fertig sind :-)
öffne malwarebytes, logdateien, poste alle berichte

Malwarebytes lässt sich nicht öffnen =(

gehts vllt noch ungenauer....
warum nicht?
fehlermeldungen? du sitzt vor dem pc, nicht ich, also bin ich schon auf richtige beschreibungen angewiesen.

"C:\Program Files (x86)\ Malwarebytes' Anti-Malware\mbam.exe

Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen makiert wurde."

Tadaa.

bitte mal neustarten, dann gehts wieder

Es gibt nur einen. Folgender Inhalt:

2012/02/24 16:48:02 +0100 TIMPC Tim MESSAGE Starting protection
2012/02/24 16:48:05 +0100 TIMPC Tim MESSAGE Protection started successfully
2012/02/24 16:48:08 +0100 TIMPC Tim MESSAGE Starting IP protection
2012/02/24 16:48:09 +0100 TIMPC Tim MESSAGE IP Protection started successfully
2012/02/24 16:58:42 +0100 TIMPC Tim MESSAGE Executing scheduled update: Daily
2012/02/24 16:58:47 +0100 TIMPC Tim MESSAGE Scheduled update executed successfully: database updated from version v2012.02.23.05 to version v2012.02.24.01
2012/02/24 16:58:47 +0100 TIMPC Tim MESSAGE Starting database refresh
2012/02/24 16:58:47 +0100 TIMPC Tim MESSAGE Stopping IP protection
2012/02/24 16:59:30 +0100 TIMPC Tim MESSAGE IP Protection stopped
2012/02/24 16:59:32 +0100 TIMPC Tim MESSAGE Database refreshed successfully
2012/02/24 16:59:32 +0100 TIMPC Tim MESSAGE Starting IP protection
2012/02/24 16:59:32 +0100 TIMPC Tim MESSAGE IP Protection started successfully