Zitat:

Zitat von cosinus

Dann MUSS dort die rules.ref sein!!

=> C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware

ok, ich schau nochmal ganz ausführlich nach, aber komisch war eh schon, dass es mehr Windows 7 ähnelt bzw. ich muss halt unter "Organisieren" und dann "Ordner- und Suchoptionen" um dort hinzugelangen, aber es ist hundertprozentig Windows Vista bevor jetzt jemand schreibt "dann wird's wohl auch Windows 7 sein" ^^

ok ich hab es jetzt doch endlich gefunden, sorry

jetzt also einfach nur die "rules.ref" auf den Stick ziehen und auf dem Laptop die alte "rules.ref" dadurch ersetzen?

Muss ich dann auch nochmal ein neuen OTL-Scan danach machen?

Ja die alte ersetzen. Bevor du das macht, unbedingt auf dem gerät wo die Internetverbindung läuft, ein Update von Malwarebytes machen, damit die rules.ref ganz aktuell ist!!

mach dann einen Vollscan auf dem Gerät ohne funktionierende Internetverbindung und dann sehen wir weiter.

So, jetzt bin ich mal gespannt...ich hoffe mal den OTL-Scan und die darauffolgenden "Namens-Zensuren" nicht nochmal machen zu müssen, aber naja, hauptsache es wird wieder alles in Ordnung

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6255

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

03.04.2011 19:07:40
mbam-log-2011-04-03 (19-07-40).txt

Scan type: Full scan (C:\|E:\|F:\|)
Objects scanned: 282823
Time elapsed: 1 hour(s), 40 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:A561576B
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:3A6BC948
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.09.30 21:42:50 | 000,000,130 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Zitat:

Zitat von cosinus

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:A561576B
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:3A6BC948
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.09.30 21:42:50 | 000,000,130 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

ok gut, ist so eben fertig geworden, aber als ich auf ok klickte gab es sofort ein Neustart, so dass ich kein Logfile speichern oder anschauen konnte.
Ist es wieder eine versteckte Datei, die ich erst wieder sichtbar machen muss oder wie komme ich da ran?

Schau in den Ordner C:\_OTL nach

All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:A561576B deleted successfully.
ADS C:\ProgramData\TEMP:3A6BC948 deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
File D:\autorun.inf not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: x
->Temp folder emptied: 133128432 bytes
->Temporary Internet Files folder emptied: 411892269 bytes
->Java cache emptied: 75442947 bytes
->FireFox cache emptied: 70852401 bytes
->Google Chrome cache emptied: 557424 bytes
->Apple Safari cache emptied: 11452416 bytes
->Flash cache emptied: 3407374 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: x
->Temp folder emptied: 295244453 bytes
->Temporary Internet Files folder emptied: 201156214 bytes
->Java cache emptied: 4350529 bytes
->FireFox cache emptied: 94009024 bytes
->Apple Safari cache emptied: 14336 bytes
->Flash cache emptied: 72011 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 498659660 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.717,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04032011_193004

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix habe ich durchgeführt

Der Laptop wurde dann neu gestartet und hinterher kam keine Logdatei, sondern ich sollte PEV ausführen, von dem in der Anleitung (--> hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird) aber nichts gesagt wird. Deswegen war ich unsicher und habe es abgebrochen womit dann alles zu Ende war.

Wurde dann trotzdem eine Logdatei erstellt oder habe ichs praktisch zufrüh abgebrochen und hätte PEV ausführen müssen?

Ja PEV ist ein Bestandteil von CF. Wer hat dich gefragt ob PEV ausgeführt werden soll? Der Virenscanner, den du eigentlich deaktivieren solltest?

Zitat:

Zitat von cosinus

Ja PEV ist ein Bestandteil von CF. Wer hat dich gefragt ob PEV ausgeführt werden soll? Der Virenscanner, den du eigentlich deaktivieren solltest?

der war deaktiviert, aber muss wohl wieder aktiviert worden sein als der PC neugestartet wurde, kann das sein?

ok was dann, nochmal ausführen?

Ja bitte nochmal ausführen. Ohne PEV kann CF nicht funktionieren

Zitat:

Zitat von cosinus

Ja bitte nochmal ausführen. Ohne PEV kann CF nicht funktionieren

ok und gibts ein Trick, dass Antivir deaktiviert bleibt auch wenn der Laptop neu startet?

Notfalls AntiVir deinstallieren. Wenn wir durch sind kann es wieder rauf.