Zitat:

Machst du das eigentlich beruflich

Jein. Ich war 5 Jahre Netzwerkadministrator, administriere immer noch kleinere Netzwerke, habe auch schon Fachinformatiker ausgebildet. Das Schädlingskillen ist mehr Hobby.

Zitat:

oder ist das ein perfekt angelerntes Hobby?

Ich habe eine sehr gute Lehrerin, meine Myrtille, die aber jetzt böse auf mich ist, weil ich dir Everest weggelöscht habe.

Ich bin ziemlich sicher, dass das RAT jetzt weg ist, aber eben nur ziemlich. Deshalb werde ich jeden Scanner auf dich loslassen, der greifbar ist. Gehen wir doch mal unkonventionelle Wege.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, suche nach der Datei * (wird lange dauern), Menüzeile: Ansicht => Details, Klick auf die Überschrift "Geändert am" und mache ein Screenshot von allen Dateien im fraglichen Zeitraum +- 1 Stunde.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Ui , okay das erklärt einiges.

:d nun kein Scherz , will unbedingt eine Ausbildung in Fachinformatik starten, schon vor ca. einer Woche habe ich mich endgültig dafür entschieden. Heißt das irgendwann könnte ich selber jemanden solche Tipps geben ? *g

Ja Everest *heul , ich fand das Tool recht hilfreich.


So hier erstmal der Lesestoff. Hing alles sehr beim Screenen.

Screen 1-5


Screen 6



So ich werd dann mal alle Programme durchlaufen lassen. Falls ich einschlafe *g schon mal eine gute Nacht! Und Dankeschön.
Falls ich nicht einschlafe , bis später *lach

Liebe Grüße Engelstraene die dir seeeehr dankbar ist

Aktuelle Trials gibt es hier: Lavalys - Comprehensive IT Security and Management

Freie z.B. hier: Everest Home Edition

Hast du den Link noch, auf den du geklickt hast? Falls ja, dann schicke ihn mir bitte als PN.

ciao, andreas

Morgen gähn, soeben bin ich fertig mit dem Dr.Web

ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kerstin\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kerstin\Desktop;Container enthält infizierte Objekte;Verschoben.;
adasdq.exe.vir;C:\Qoobox\Quarantine\C\Programme\jasdqw;Trojan.Inject.5089;Gelöscht.;
A0048122.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP257;Trojan.Inject.5089;Gelöscht.;
A0049682.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Wahrscheinlich BATCH.Virus;;
A0049685.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Program.PsExec.170;;
A0049895.reg;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Trojan.StartPage.1505;Gelöscht.;
A0049970.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP261;Wahrscheinlich BATCH.Virus;;
A0050039.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP262;Wahrscheinlich BATCH.Virus;;
A0050108.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Trojan.Inject.5089;Gelöscht.;
A0050132.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Wahrscheinlich BATCH.Virus;;
A0050135.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Program.PsExec.170;;
A0050325.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Wahrscheinlich BATCH.Virus;;
A0050328.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Program.PsExec.170;;
A0050381.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Wahrscheinlich BATCH.Virus;;
A0050381.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Program.PsExec.171;;
data002;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Archiv enthält infizierte Objekte;;
A0050381.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Container enthält infizierte Objekte;Verschoben.;





Zu dem Link, gerade zur Verfügung leider nicht. Da mein Nick noch gesperrt ist, kann ich meine Nachrichten nicht öffnen. Könnte ihn dir im Nachhinein schicken. Bin noch unsicher ob ichs jetzt schon freischalten lassen soll. Ich warte lieber noch bis ich wirklich "sauber" bin.

Was ich mich nun frage ist... Ist das ein Fehlarlam bei der ComboFix Datei ? Ich habs trotzdem verschoben, hast du mir ja so gesagt. Das was ich nicht verschieben konnte hab ich gelöscht. Hoffe das war richtig.


Der Rest kommt nun auch.

Lg

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Zitat:

Ich warte lieber noch bis ich wirklich "sauber" bin.

Mmh. Bei dem, was bisher gefunden wurde, solltest du auf die letzten beiden Links in meiner Signatur klicken und alles aufmerksam durchlesen.

Zitat:

Ist das ein Fehlarlam bei der ComboFix Datei ?

Das Antivirenprogramme sich gegenseitig als Schädlinge erkennen ist "normal" (oder Firmenpolitik?).

Zitat:

Hoffe das war richtig.

Passt schon.

Zitat:

von allen Dateien im fraglichen Zeitraum +- 1 Stunde.

Mit der fragliche Zeitraum meinte ich den Zeitraum, als du auf den Link geklickt hast.

ciao, andreas

Morgen

So die Systemwiederherstellung ist deaktiviert.


Wegen den Screens öhm ja. *g Hier sind die richtigen.

Eins hat sich nicht eingeordnet nachdem ich nach Zeit anzeigen gemacht hab , hab ich mal einen Pfeil vorgesetzt.

Liebe Grüße

Morgen,

da ist noch etwas.

Doppelklicke in der Überschrift genau auf die Grenze zwischen "Im Ordner" und "Größe" damit der volle Ordnername sichtbar wird. Dann nocheinmal Screenshots erstellen. Ich brauche den vollen Pfad zum Ordner "5" und zu den Dateien mit den vielen Zahlen.

ciao, andreas