Hallo,

ich habe dasselbe Problem wie renfield:
Malware gefunden und entfernt - Sicherheitscenter deaktiviert sich automatisch. Ich kann das Sicherheitscenter über Services.msc auf 'Automatisch' setzen und starten, aber nach etwa 1min ist es wieder deaktiviert.

Mein OS ist Windows 7 und als AV hab ich GData TotalCare 2010 (v. 20.2.4.2) installiert, als Browser verwende ich Firefox (v3.6 und v4beta).

Ich habe leider erst im Nachhinhein gesehn, dass der OTL-Fix ein angepasster Fix ist und ihn ausgeführt - was allerdings kein Problemm ist. Allerdings startet jetzt im Unterschied zu vorher das Wartungscenter nicht mehr automatisch mit dem System. Ich muss es erst manuell gestartet haben, bevor es im SysTray auftaucht.
Da überall so eindringlich davor gewarnt wird, habe ich nicht gewagt, mit dem Combofix-Fix weiterzumachen (wobei ich diesesmal versucht hätte, es auf meine Situation anzupassen, aber das wär vmtl. eher ein Glücksspiel geworden).

Malwarebytesscan und OTL+OTL-Extra von vor dem OTL-Fix hängt an, ebenso der Bericht des OTL-Fix.

Ich hoffe, ich hab alle Regeln beachtet und nichts vergessen.

Viele Grüße,
d4foasta

Du solltest nicht auf eigene Faust Einträge mit OTL fixen!!!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ich weiß, dass das mit dem Fix ne blöde Idee war. Ich hab zu spät gemerkt, dass es sich um einen angepassten Fix handelt.
Gerade läuft MWB nochmal durch (sozusagen ein Post-OTLfix-Scan), sobald er fertig ist häng ich ihn auch an.

Ich hab noch einen MWB-log von bevor mich in die Thematik hier im Forum eingelesen hatte (soll heissen: ich hab die Funde von MWB fixen lassen. Da sich dadurch nix geändert hat, weder im pos noch im neg, hab ich es als unrelevant abgetan).

Waren das alle Logs von MBAM?

Ja, insgesamt jetzt drei Stück (ich hab ja vorher einen gestartet, der inzwischen ohne Befund fertig geworden ist - jetzt im Anhang).
Ich hab ja MWB gerade erst drauf. Und mehr Logs werden da zumindest nicht angezeigt.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok. Hab den ComboFix durchlaufen lassen.

Ich weiß nicht, ob des von Bedeutung ist, aber der ComboFix hat sich Anfangs beschwert, weil der AV noch lief. Des Problem ist, ich hab keine Ahnung, wie Gdata Total Care abschalten kann. Ich hab den Wächter ausgeschalten und gehofft, dass das reicht. Nach dem Neustart war er aber wieder aktiv - ich hab ihn dann nochmal manuell deaktiviert. Probleme hat mir weder CoFi noch AVK gemeldet, deswegen hoff ich, dass sich die nicht in die Haare gekommen sind.

Das Log vom CoFi ist im Anhang.

Viele Grüße und n8
Anonymous

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\PCDSRVC{3037D694-FD904ACA-06020000}_0]

Folder::
c:\program files\pc-doctor
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ok, ComboFix lief mit dem Fix ohne Probleme durch, ich musste nur einmal GData abhaken, dass CoFi Änderungen vornehmen darf (obwohl ich den Wächter vorher bereits ausgeschaltet hatte.
Das Sicherheitscenter läuft jetzt, wie es sollte.
Ist die Arbeit damit getan oder sind jetzt nur die Symptome weg?
Log ist im Anhang.

Viele Grüße
Anominous

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ok, hier sind die Logfiles.
OSAM hat ein bisschen anders funtioniert als in der Anleitung, es handelt sich wohl um eine neuere Version. Ich hoffe, die Logfile passt so.
MBRcheck hat mich am Ende gefragt, ob ich die sich im MBR befindliche, infizierte Datei löschen will. Da ichs nicht genau wusste, hab ich mal "nein" gemacht...

Viele Grüße,
Anominous

Code: Alles auswählenAufklappen

ATTFilter

      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive1   Unknown MBR code
            SHA1: 0EDE66D201E44214BC3DF5B97E69E1354C72DC8A
         

Hm, ein unbekannter MBR. Lass dafür mal bitte dieses Tool von Kaspersky durchlaufen => http://www.trojaner-board.de/82358-t...entfernen.html

Ich hatte auch hier wieder die Wahl zwischen fixen und überspringen, ich hab mich wieder für letzteres entschieden.

Ist nur der SPTD-Treiber, kommt zB von den Daemontools für virtuelle optische Laufwerke. Wir lassen den manuell Fix des MBR daher erstmal, es sei denn du möchtest das ausdrücklich

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ok, hier sind die Logs. Da bei den Anleitungen nichts extra dabeistand, hab ich während des Scans Firefox laufen lassen, ich hoffe, das hatte keinen negativen Einfluss.