schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [mwavscan_autoscan]  File not found
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [rundll32.exe]  File not found
O4 - HKCU..\Run: [WAB] C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe ()
:Files
C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe
C:\WINDOWS\logo_1.exe
C:\WINDOWS\logo1_.exe
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

schritt 2

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:

Malwarebytes - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP und Vista.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scan.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung


schritt 3

Bitte lade Registry Search.zip von Bobbi Flekman runter und speichere es auf deinem Desktop.

• Extrahiere den Inhalt der Zip-Datei auch auf den Desktop.
• Doppel-klicke auf regsearch.exe um das Program zu starten
• Navigiere zu dem hier illustrierten Bereich (klicke es an um das Bild zu vergrößern):
  
• Gebe bitte die folgende(n) Zeichenfolge(n) (eines (1) pro Zeile) in das oben illustrierte Textfeld:
  • 34f1c00e19
• Nun klicke auf "OK." Registry Search wird nun die Registrierung durchsuchen und einen Bericht mit den Funden erstellen.
• Poste das Ergebnis in deiner nächsten Antwort.

schritt 4

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

schritt 5

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

Hallo

Ich werde erstmal OTL und Malwarebytes posten. Rest kommt noch.

OTL

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\mwavscan_autoscan not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WAB deleted successfully.
C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe not found.
C:\WINDOWS\logo_1.exe folder moved successfully.
File\Folder C:\WINDOWS\logo1_.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: HelpAssistant
->Temp folder emptied: 59431944 bytes
->Temporary Internet Files folder emptied: 45484 bytes
->Java cache emptied: 3851 bytes
->FireFox cache emptied: 10503144 bytes
->Apple Safari cache emptied: 464862 bytes
 
User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 663785145 bytes
 
User: PorTed
->Temp folder emptied: 422273822 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 57264634 bytes
->Apple Safari cache emptied: 464862 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1350046 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
Windows Temp folder emptied: 831202 bytes
RecycleBin emptied: 2459 bytes
 
Total Files Cleaned = 1160,25 mb
 
 
OTL by OldTimer - Version 3.1.11.0 log created on 11282009_153339

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\$$$dq3e scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\$67we.$ scheduled to be moved on reboot.
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_30c.dat not found!
File\Folder C:\WINDOWS\temp\ZLT0357b.TMP not found!
File\Folder C:\WINDOWS\temp\ZLT0357e.TMP not found!

Registry entries deleted on Reboot...
         

malwarebytes log. Hat nichts gefunden.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1695
Windows 5.1.2600 Service Pack 3

28.11.2009 16:12:14
mbam-log-2009-11-28 (16-12-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58031
Laufzeit: 18 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)