vermutlich gibt es mehr als "nur" diese 5 Dateien zu löschen lassen
AVG vorübergehend abschalten:-> http://free.avg.com/de-de/5?num=1311
berichte mir, ob es Dir gelungen?

Guten Morgen!

Schade, ich dachte schon, ich dürfte ein wenig optimistisch sein

AVG auf diese Weise zu deaktivieren funktioniert zwar für AVG (es wird angezeigt: "kein Schutz"), aber Combofix behauptet eben weiter, dass AVG läuft und ich mir einen schwerwiegenden Systemfehler holen könnte, wenn ich Combofix trotzdem starte. Übrigens meint Combofix, dass gleich 4 Versionen AVG laufen.

Soll ich einen Scan mit combofix riskieren, oder lieber Plan B?
Und darf AVG nun die Trojaner löschen, die es selbst findet, oder soll ich sie lieber in Quarantäne lassen, oder gar befreien? Anbei mal der letzte Scanbericht, die fünf "zu killenden" Trojaner hat er gestern auch gefunden und in Quarantäne gesteckt.

Vielen Dank für Deine Mühen!

Achja,

und ich habe bei den Anwenderdateien noch einen komischen Ordner gefunden, indem nebst zwei .ini-Dateien auch folgendes Textdokument lag.
Betitelt mit "Enemies-names.txt"

Hilft das was?

...Und nochwas sehr gräßliches muss passiert sein - oder das AVG-Update hat Wunder gewirkt. Die Software hat sich heute aktualisiert und im Anschluss knapp 1000 Viren und Trojaner gefunden...

Hoffentlich wird das noch was mit meinem armen Laptop.

also die sind alle legitime Dateien...bitte aus Quarantäne alle wiederherstellen
dann mache folgendes:


1.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

2.
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
Schließe jetzt erneut alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an - wie unter Punkt 1. beschrieben
- Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Seit ich die Dateien aus der Quarantäne geholt habe, nervt mich AVG alle 5-30 Sekunden mit einer Sicherheitswarnung. Warum greift es "gute" Dateien an?

1. Außer an meinen Laptop kommen meine USB-Sticks beinah ausschließlich an MAcs. Möglich ist natürlich alles. Der momentane "Befall" ging in einem Moment so richtig los, als ich bei Megavideo etwas gescreamt habe...

Punkt 1 hat leider nicht funktioniert. Kaspersky ist der Meinung mein Java sei zu alt, obwohl es ausreichend ist. Deinstallieren kann ich das nicht, und AVG behauptet ja auch dauernd, irgendwelche Javadateien seien mit Viren verseucht.


2. Ich habe trotzdem auch den Scan mit Nod32 probiert. Nach den Nutzungsbedingungen kommt die Seite beim Laden aber nicht über 5 Balken hinaus. Könnte vielleicht auch an meinem Internet liegen.

Was rätst Du?

Vielen Dank Dir, und Gruß!

So lange dein AVG ständig überall eingreift bzw alles blockiert, können wir keinen sinnvollen Schritt machen

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\drivers\xktuu.sys
C:\WINDOWS\Yvyroc.exe
C:\WINDOWS\Yvyrob.exe
C:\WINDOWS\Yvyrod.exe
C:\WINDOWS\Yvyroe.exe
C:\WINDOWS\Yvyroa.exe
         

→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKCU\..\Run: [handlerfix70700en00.exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00.exe
O4 - HKCU\..\Run: [handlerfix70700en00 .exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00 .exe
O4 - HKCU\..\Run: [handlerfix70700en00 .exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00 .exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP

016  Einträge - alle!
         

3.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:
4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Synaptics\SynTP\Media\SynCtrl.dll
C:\Programme\OfficeUpdate11\oudetect.dll
C:\Programme\Nero\Nero 7\Core\mfc71u.dll
C:\Programme\Mozilla Firefox\freeb13.dll
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code: Alles auswählenAufklappen

ATTFilter

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

Neuer Tag, neues Glück. Da AVG mich zum Teil sekündlich nervt, lasse ich den residenten schutz die meiste Zeit aus. Deine Anweisungen haben gut funktioniert:

1.Avenger hat die erste Datein brav gelöscht, die y-viren hat er nicht gefunden. Ich glaube AVG hat sie nach einiger Zeit in der Virenquarantäne gelöscht, nachdem es auch eingesehen hat, dass die Viecher schädlich sind.

2. Fixen müsste auch geklappt haben. Nur die 04er Dateien habe ich so nicht gefunden. Es gab nur eine mit "HKCU" am Anfang, die hier windows/system.32/ctfmon.exe o.ä.

3. und 3.5 keine Probleme hier

4. Vier böse Buben.

Alle gewünschten Infos müsstest du im Anhangzip finden.
AVG spinnt immernoch.

Vielen Dank Dir.

Wie ich beführtet habe, das System ist infiziert mit "file infector Win32.Ramnit"...
Bei dieser Infektionsart wird der Virus alle ausführbare Dateien infizieren. Das heißt, alle startende Programme werden sofort infiziert, jetzt schon passiert bzw alle Systemdateien sind auch schon komplett befallen. Eine Heilung und Systemreinigung ist bei diese Art von Computerviren tatsächlich nicht möglich, gegen diesen Virusbefall kann man nichts mehr tun, weil ja der Virus infiziert alle ausführbare Dateien auf dem Laufwerk
Du kannst nur eins machen: dein ganzes System neu aufzusetzen
Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben!

► Also besorg' dir Killdisc die Festplatte zu richtig und gründlich zu entrümpeln - oder eben die Festplatte komplett formatieren
► Dabei sowohl auch auf alle externe Medium (extern gesicherte Daten) gilt, eine totale Löschung erforderlich!!
► Du darfst keine EXE und SCR, Archive und Backups, die eventuell solche Dateien enthalten) Daten sichern und zurückspielen, da sonst die Gefahr besteht, dass Dein Rechner wirklich wieder nach wenigen Minute wieder infiziert wird
wenn Du doch eine Datensicherung der für dich wichtigen persönlichen Dateien möchtest:
**Vor zurückspielen:
Problematisch sind vor allen Dingen ausführbare Dateien deswegen lautet die Empfehlung, eine solche Datensicherung vor zurückspielen gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern.
Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.

gute Rat von mir noch: Um eine erneute mögliche Infektion zu verhindern, bitte verzichte in der Zukunft auf P2P-FileSharing Netzwerke (eMule, Kazaa & Co)!

Guten Morgen,

sorry, den Schock musste ich erste einmal verdauen. Die "Diagnose" ist auch gerade noch rechtzeitig gekommen. Am Samstag bin ich in Urlaub gefahren, und da ich für die Arbeit noch Dinge erledigen muss, konnte ich mir von der Firma einen Lapotp ausleihen.

Das Sorgenkind habe ich nun zum neu aufsetzen zu meinem Bruder geschickt, der kennt sich mit Computern sehr gut aus.

Dir vielen Dank für Deine investierte Zeit. Hoffentlich war es das erste und letzte Mal, dass ich mit so einem Viech zu tun hatte.

Viele Grüße aus dem Urlaub und mehr Erfolg beim nächsten Mal wünscht,
katholumbien

ich wünsche dir einen schönen Urlaub, geniesse diese Zeit!

Ändere deine Passworte und Zugangsdaten überall! - von einem sauberen System aus

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars etc möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

wünsch Dir alles Gute