Liebe Trojaner-Board-Profis,

first of all: ich finde es unglaublich toll, dass Ihr so verzweifelten Menschen wie nun auch mir mit dieser Geduld etc. helft. Danke schon jetzt dafür!

Nun zu meinem Problem. Ich habe mir auf meinem Windows XP Home System den berüchtigten Antimalware Doctor eingefangen. Womit und warum auch immer.

Nach euren Anleitungen habe ich mittels rKill.com und Malwarebytes Anti-Malware das Ding offenbar auch beseitigen können. Die Programme konnte ich jeweils nur ausführen, indem ich nach dem Login (nach der Benutzerauswahl) fix auf CTRL-ALT-DEL gedrückt und die beiden Programme dann jeweils im Taskmanager über "Neuer Task (Ausführen)" vom USB-Stick ausgeführt habe.

Nach dem zweiten Durchgang (inkl. Runterfahren des Rechners) wurde kein aktiver Prozess mehr gestoppt (durch rKill.com). Und MBAB hat nach dem dritten Durchgang auch keine Infektionen oder bösen Dateien mehr gefunden. Vor dem dritten Durchgang habe ich übrigens noch ein update des Programms gemacht - das wurde meiner Erinnerung nach die Version 4453 geladen. Leider habe ich von diesem dritten (und den folgenden) Durchgang keine Logs mehr. Aber die waren alle ok (0 Dateien infiziert, auch keine Regs).

Allerdings blieb der Rechner beim neu booten danach jeweils nach dem Login mit einem der Benutzernamen (egal, welchem) stehen. Das Desktophintergrundbild wurde noch geladen, mehr ging dann nicht. Nur der Taskmanager konnte noch per CTRL-ALT-DEL gestartet werden. Der Versuch, dann manuell (mit "Neuer Task (Ausführen)) den Explorer zu starten, misslang - die Datei Explorer.Exe war nicht mehr unter c:\windows\ zu finden.

Exkurs: Der Start ging übrigens jeweils nur über den normalen Windows-Modus. Im abgesicherten Modus (mit oder ohne Netzwerkunterstützung) kam schnell eine Fehlermeldung (so schnell, dass ich sie nie lesen konnte) und der Rechner bootete erneut...

Dann habe ich offenbar einen echten Fehler gemacht (für den ich mich in den Hintern beissen könnte). Als ich diese Probleme gerade tippte kam es mir in den Sinn, dass ich ja die Datei Explorer.Exe einfach von einem anderen Rechner (allerdings Win XP Professional) auf den USB-Stick kopieren und auf meinem problembehafteten WIn XP Home Desktop über den Taskmanager wieder starten könnte. Das hat zwar tatsächlich funktioniert. Jedenfalls waren dann auf einmal wieder alle Programme etc. auf dem Desktop zu sehen.

Dann habe ich allerdings nochmals rkill.com gestartet (wollte ja auf Nummer sicher gehen) und er fand drei Prozesse (allerdings aus meiner Sicht "normale" Prozesse: c:\programme\gemeinsame dateien\apple\mobile device support\applesyncnotifier.exe; c:\programme\malwarebytes' anti-malware\mbam.exe und c:\dokumente und einstellungen\wolfgang\desktop\quieksoundswitch.exe (Programm zum schnellen Wechsel der Soundkarte)). Also Prozesse, die ich in der Tat im Autorun habe.

Dann habe ich mit MBAB einen Quiek Scan durchgeführt. Bis zum Absturz des Rechners ohne Auffälligkeiten. Allerdings meldete meine installierte Symantic Security Suite nun in regelmäßigen Abständen Bedrohungen (Trojaner), die er jedoch jedesmal als "abgewehrt" und damit gelöst meldete.

Und dann passierte es... Das System stürzte mit einem schönen bluescreen ab, ich bekam eine Fehlermeldung (wenn ich es nicht durcheinander bekomme: windows login prozess wurde beendet.). Nach einem Neustart kam Windows bis zur Benutzerauswahl. Kurz nach Auswahl des Benutzers gab es das graue Fehlerkästchen in der Mitte mit der Meldung "SAS Window winlogon.exe" mit der Auswahl ok oder debuggen. Und dann gibt es wieder den bluescreen.

Auch hier ist ein Starten im abgesicherten Modus nicht mehr möglich. Im normalen Modus erscheint nach der Benutzerauswahl dann immer diese Fehlermeldung (das Hintergrundbild des jeweiligen Benutzers wird immerhin noch hochgeladen...).

Tja, nun sitze ich hier. Und bin total genervt und auch verzweifelt.

Es wäre schön, wenn Ihr eine Idee hättet, wie ich einen Systemneuaufbau mit Datenrettung und Neuaufsetzen vermeiden könnte. Da sind Programme seit gut acht Jahren drauf - nicht bei allen weiß ich mehr, wo ich die jeweiligen Reg-Codes abgelegt habe. Irgendwo in einer Mail....).

Oder ist das System so schwer beschädigt, dass auch Ihr Wunderheiler nix mehr machen könnt?

Für Eure Hilfe und die Hinweise bin ich euch jedenfalls schon jetzt sehr dankbar.

Beste Grüße,

Wolfgang

P.S.:

Hier noch die Log-Dateien. Hatte ich vorher leider vergessen.

Log von rkill.com (erster Durchgang)

Code: Alles auswählenAufklappen

ATTFilter

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Wolfgang on 20.08.2010 at 14:15:28. 
 
 
Processes terminated by Rkill or while it was running: 
 
 
C:\WINDOWS\system32\logonui.exe
 
 
Rkill completed on 20.08.2010  at 14:15:35.
         

Log des ersten Scans mit mbam (offenbar, bevor ich die Dateien dann wie in der Anleitung beschrieben gekillt habe):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4451
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
20.08.2010 14:26:42
mbam-log-2010-08-20 (14-26-42).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 185179
Laufzeit: 8 Minute(n), 12 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntiVirus2008) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{067e8b3c-b42b-401c-ac59-6a5e1c119e4d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{067e8b3c-b42b-401c-ac59-6a5e1c119e4d} (Trojan.FakeAlert) -> No action taken.
 
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newsecureapp70700.exe (Malware.Packer.Gen) -> No action taken.
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\070693BEB2350F4C62854E0359BC33E0\newsecureapp70700.exe (Malware.Packer.Gen) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\3F4.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\3F5.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\3F8.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\ae44a29f.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\unqo.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\wtpvaae.exe (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\Wolfgang\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
C:\WINDOWS\system32\sex1.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sex2.ico (Malware.Trace) -> No action taken.
         

Und der zweite Scan:

Code: Alles auswählenAufklappen

ATTFilter

 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4451
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
20.08.2010 16:15:09
mbam-log-2010-08-20 (16-15-09).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 402621
Laufzeit: 1 Stunde(n), 35 Minute(n), 12 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP328\A0080184.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP328\A0080187.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP328\A0080188.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
         

Nachtrag: Wenn ich nun über die Wiederherstellungs-Disk per Dos auf das Windows-Verzeichnis zugreife (c:\windows) ist die vorher von mir dahin kopierte Datei explorer.exe nicht mehr da. Sehr merkwürdig. Irgendwie scheint der Rechner ein Eigenleben entwickelt zu haben. Mist.

Nun habe ich doch das System platt gemacht und neu aufgesetzt. Muss schließlich damit arbeiten...

Und noch ein Nachtrag:

Als ich das System mit Hilfe der Windows XP CD wieder neu aufsetzen wollte hat mir die Installationssoftware nach der Eingabe von "Enter" (nicht "r") beim ersten Auswahlbildschirm dann doch gemeldet, dass schon eine Windows XP Home Version installiert sei und ich versuchen könnte, diese zu reparieren. Das habe ich dann getan. Und damit tatsächlich alles Daten etc. behalten. Jetzt arbeite ich mich durch die ganzen Anleitungen hier im Forum, um sicherzustellen, dass das System tatsächlich virenfrei ist (da die Start-CD nur XP SP1 war, dauert alleine das downloaden und installieren der aktuellen Win XP SP3 schon eine Weile...).

Also: es gibt offenbar doch noch Hoffnung, auch wenn der Rechner ganz schön in Mitleidenschaft gezogen wurde durch den *!x# Virus...

Besten Dank jedenfalls für die vielen Hilfestellungen hier. Sind wirklich super!

Ggfls. melde ich mich nochmal in einem neuen Post, um sicherzustellen, dass das System nun wirklich virenfrei ist.