Hilfe seit gestern abend nur noch Trojanermeldung TR/starter.go
 

Hallo, wir brauchen dringend Hilfe, gestern mußte ein neues flash update gemacht werden. Danach wurde der PC immer langsamer (Advanced system care wurde installiert als der Rechner so langsam wurde, vor ein paar Tagen ist ein neuer Speicher installiert worden und wir dachten, dass es daran liegen könnte und er defekt sei) und schließlich kamen nur noch Meldungen TR/starter.go wurde gefunden.
Wir versuchten ein Antivirenupdate zu machen, obwohl das Neueste installiert war, nichts geht mehr. Die neueste vdf. Datei von Antivir von heute früh ist manuell installiert. Jedes Programm, außer dem IE bringt Fehlermeldungen. Überall wird von Antivir ein Trojaner festgestellt. Mit Hijackthis kam nichts heraus was "gefährlich" eingestuft wurde.
Jede exe.Datei die wir ausführen wollen bringt Trojaneralarm. Spyware Doctor ist installiert-stürzt aber ab.
Momentan machen wir einen Online-Scan von Symantec.
update 11.18 Uhr - hat nichts angezeigt!!!

Wir brauchen dringend Hilfe, da eine Neuinstallation keinesfalls vorgenommen werden kann, es handelt sich um einen PC mit wichtigen Projektdaten die morgen abgegeben werden müssen!!!
Leider können wir den IE auch nicht killen, da MSProject darauf zurückgreift!!!

Vielen Dank an alle fleißen Helfer:headbang:


update 11.20 Uhr

Speicherfehlermeldung

GUARDGUI.EXE Fehler in Anwendung

Die Anweisung in "0x01679BCF" verweit auf Speicher in "0x01679BCF". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Klicken Sie auf "OK" um das Programm zu beenden.
Klicken Sie auf "Abbrechen", um das Programm zu debuggen.


Ok Abbrechen


UND WAS NUN???

Hallo Hausimausi,

Ich sag es gleich vorher - ich bin kein Maleware/Viren-Profi wie die Moderatoren hier.

Für mich hört sich das eher so an, als ob das Antivir nach der Flash-installation spinnt.

folgende Möglichkeiten würden vielleicht helfen:

1) Antivir komplett deinstallieren und neu aufspielen. Downloadlink und Tipps dazu unter: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

2) Systemwiederherstellung auf den Punkt vor der Flash-Installation zurückverlegen, da ich aber nicht einschätzen kann, ob Ihr Euch tasächlich infiziert habt, kann ich auch nicht sagen, ob das etwas bringen würde.

3) Postet das Logfile von HJT und erinnert nochmal an Euren Beitrag und macht in der Zwischenzeit hier weiter: http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Mehr fällt mir im Moment auch nicht ein.

Viele Grüße

:hallo:

Klingt nach Virut :(
Bitte auf ein Komplettes Plattmachen des Rechners einstellen.

Hijackthis istalliert?, dann rechtsklick auf das HJT Icon --> umbenennen in iwas.com.
Poste bitte die Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:56, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\LxrSII1s.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\HPZipm12.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Huawei Modems\DataCardMonitor.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Personalisierte Startseite
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Dell-Suchseite
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dell-Suchseite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = Personalisierte Startseite
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Personalisierte Startseite
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\Huawei Modems\DataCardMonitor.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Macromedia\Common\571a601c19.exe
O4 - HKCU\..\RunOnce: [SQL Express Wrapper] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\SQL Server 2008 Express Install\2009-04-22_08-52-39-125\SqlExpressWrapperLauncher.exe" SqlExpressWrapper.exe /sewInstallId:2009-04-22_08-52-39-125 /sewEdition:SqlExpressWithTools /sewLocale:de
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/de...e/HPDEXAXO.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Lexar Secure II (LxrSII1s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrSII1s.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 9520 bytes


unser HJT File

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
schritt 1

Online Banking betrieben?
Wenn ja, bitte mit der Bank in verbindung setzen und um neue TANs etc bitten.
Das ist ein Silentbanker.

schritt 2

Bitte den Bericht von Deinem AVP posten.
Starte Avira --> Berichte --> Posten den letzten Bericht

schritt 3

Wende bitte Malwarebytes nach Anleitung an.


schritt 4

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 5

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

--> #


das ist das Protokoll von Antivir erst einmal.. wir machen weiter im Programm, das ist noch nicht weg!!!

ok da es eindeutig zu viele Zeichen sind hänge ich die Anhänge dran

Wir haben jetzt nur noch GMER

Sind schon weniger Fehlermeldungen!!!

wurden die Funde von Malwarebytes wie beschrieben auch gelöscht?
da steht no action taken :)

ähm ja eigentlich schon, er hat sie alle gelöscht ach so ja jetzt ich hab das erste Logfile genommen - danach gibt es noch eins...

so viele Buchstaben hier.. da kann man mal ein File vergessen :headbang:

es wird immer besser - er scannt noch weiter in GMer

gmer bermerkst du erst wenn er keine neuen daten mehr anzeigt wenn es fertig ist ;)

das letzte ist vollbracht, bis jetzt hat er keine Fehlermeldung mehr gebracht...

Das Projekt muß morgen abgegeben werden, ich hoffe Ihr lest aus dem log nix böses mehr und alles ist gut!!!

:aplaus:

Okay, keine Rootkits zu sehen :Boogie:

Bitte folgendes.

Bitte lade Registry Search.zip von Bobbi Flekman runter und speichere es auf deinem Desktop.

• Extrahiere den Inhalt der Zip-Datei auch auf den Desktop.
• Doppel-klicke auf regsearch.exe um das Program zu starten
• Navigiere zu dem hier illustrierten Bereich (klicke es an um das Bild zu vergrößern):
  http://i94.photobucket.com/albums/l8...tringField.png
• Gebe bitte die folgende(n) Zeichenfolge(n) (eines (1) pro Zeile) in das oben illustrierte Textfeld:
  • 571a601c1
• Nun klicke auf "OK." Registry Search wird nun die Registrierung durchsuchen und einen Bericht mit den Funden erstellen.
• Poste das Ergebnis in deiner nächsten Antwort.

es ist vollbracht

schritt 1

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


schritt 2

Registry Einträge ändern, löschen oder erstellen

Start--> ausführen--> notepad (reinschreiben)--> ok

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Speichere es nun unter regfix.reg
• achte darauf, dass bei Datei-Typ "Alle Dateien" angegeben ist
• nun sollte http://image.hijackthis.eu/upload/regfix_kl.jpg auf Deinem Desktop erscheinen
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Hier findest Du eine bebilderte Anleitung

Hinweis für alle Mitleser: Diese Skript wurde ausschliesslich für diesen User in dieser Situation erstellt. Das Anwenden auf anderen Rechnern kann zu schwerwiegenden Problemen führen.


schritt 3

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

schritt 4

Lass Malwarebytes erneut scannen.


schritt 5

Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Nun hab ich alles so ausgeführt wie noch einmal ausgeschrieben

einmal brachte er mir noch eine Fehlermeldung von antivir.-- mehr bisher nicht!!

Hoffentlich war es das nun, das Projekt ist immer noch nicht fertig *grmf

bitte alle schritte der Reihe nach abarbeiten
Es hat seine Gründe warum ich hier eine Reihenfolge schreibe :)

Malwarebytes danach den scan mit RSIT

Das habe ich doch getan, erst den Malwarebytes, hab nur vergessen das Logfile hoch zu laden und dann Rsit da habe ich die Files hochgeladen.. ok hier noch einmal das File von Malwarebytes

das kann ich leider nicht wissen ;)

Fertig sind wir noch nicht ganz :)

schritt 1

Einträge mit HijackThis fixen

Starte HijackThis-->do a Systemscan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Nun auf Fix checked klicken
Rechner neu starten


schritt 2

Manuelle Bereinigung

Reinige den Cache und die Cookies im IE:

• Schliesse alle Fenster von Oulook Express und Internet Explorer
• Navigiere zu Start > Systemsteuerung > Internetoptionen > Allgemein
• Im Bereich "Browserverlauf" klicke auf "Delete"
• Lösche die Dateien, Cookies und den Verlauf
• Schliesse das Fenster

Reinige den Cache und die Cookies in Firefox: (wenn dieser installiert ist)

• Gehe zu Extras > Private Daten löschen
• Ein neues Fenster geht auf
• Markiere alles und klicke auf "Private Daten löschen"

Andere Temporäre Dateien und den Papierkorb leeren:

• Start > Ausführen, schreibe cleanmgr und klicke Ok
• Lass nun Dein System scannen
• Vergewissere Dich, dass nur Temporäre Internet Dateien, Temporäre Dateien und der Papierkorb angehakt sind.
• Klicke nun Ok um diese zu löschen

schritt 3

Deine Java Version ist nicht aktuell.
Deinstalliere bitte alle alten Versionen.
Downloade Dir bitte Java Update 15 und installiere diese.


schritt 4

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


schritt 3

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
Der kann ein paar Stunden dauern


schritt 5

Lösche unter C:\RSIT die Log.txt und info.txt
Doppelklick auf die RSIT.exe
poste beide logfiles

Guten morgähn, nach durchgemachter Nacht - er ist immer noch da!!!!!!!!

Haben noch einmal Antivir durchlaufen lassen, dieses mal hat er eine Datei in Quarantäne gesteckt...
Suche in der Registry ergab diesen Fund... siehe Anhang

:heulen:

So wir haben die Registry noch einmal gesäubert.. bis jetzt kein neuer Fund, Reg ist sauber, Antivir findet auch nix mehr - sollte es das gewesen sein?!

Leider haben wir es trotzdem nicht mehr rechtzeitig bis zur Projektvorstellung geschafft...

trotzdem erst einmal vielen Dank für die liebe Hilfe

neuerster Antivir test - wieder was gefunden, glaube das Spiel geht weiter...

Morgen

:headbang:
Nur mit der Ruhe, mein Fehler.

Poste mir bitte den Befund von Avira

der löscht immer wieder eine Datei und zeigt an, dass es der TR/starter.go ist. Gerade habe ich noch einen Scanner gefunden, der vom USB Stick aus gestartet wird, Dr. Web heißt er. Der hat mittlerweile einen Trojan.click.18705 gefunden... und gelöscht..

in der registry haben wir aber nichts mehr von dem gefunden was mal war.. als 571a601c1 ist alles weg...

der scann läußt jetzt noch vom Dr.Web Antivirus und dann kann ich noch einmal mit antivir drüber gehen..

bitte nur scanns durchführen die angeordnet werden.
Breche den Scan von DrWeb ab und starte Avira --> berichte --> poste mir den letzten

na gut, also das war das letzte von Antivir....

Sehen wir nach ob die Datei noch da ist :)

Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich.

Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja".

Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.


schritt 2

Registry Einträge ändern, löschen oder erstellen

Start--> ausführen--> notepad (reinschreiben)--> ok

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Speichere es nun unter regfix.reg
• achte darauf, dass bei Datei-Typ "Alle Dateien" angegeben ist
• nun sollte http://image.hijackthis.eu/upload/regfix_kl.jpg auf Deinem Desktop erscheinen
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Hier findest Du eine bebilderte Anleitung


schritt 3

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

schritt 4

Vollständiger Scan mit Malwarebytes


schritt 5

Scanne Dein System mit Avira


Poste bitte das Logfile von Avenger Malwarebytes und Avira sowie ein neues HJT Logfile

so alles gemacht und bis jetzt io..

werde noch einmal den Rechner neu starten und noch einmal scannen oder soll ich noch was anderes machen?

Logfiles sind okay :daumenhoc

Einträge mit HijackThis fixen

Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Nun auf Fix checked klicken
Rechner neu starten


schritt 2

Download OTM.exe Deinem Desktop.

• doppelklick auf die OTM.exe
  (Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator")
• Klick auf den CleanUp! button
• cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
• Begin cleanup process? klicke: Yes.
• "Do you want to reboot?" klicke ebenfalls Yes

so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

Wenn es keine Probleme mehr gibt, bist Du entlassen :)

Vielen Dank an DICH!!!!

:party: