Diese Datei hab ich nicht gefunden.
nur z.B. spldr.sys oder spsys.sys

Diese Datei finde ich auch nicht um sie hochzuladen.


Gibt es denn einen Unterschied bei der Bezeichnung von Drivers und der Bezeichnung drivers
(außer die Groß/Kleinschreibweise) ?

@Chris4You
Gewollt ist das sicher nicht. Ich muss zugeben ich hab echt wenig ahnung von dem, was in einem Läptop geschieht. was nicht heißen soll, das ich es mich hindert es verstehen zu wollen.
Ich bin deinen Tipp mit RegEdit nachgegangen und hab das alles entfernt.
(auf meine eigene Gefahr hin)
ich bin überzeugt, das wenn du mich schon fragst, ob diese Programme "gewollt" sind, sie nicht unbedingt von Nöten sind.

nein, ich werde seit dem Durchlauf von malwarebytes' anti-malware nicht mehr daran gehindert bzw. verzögert es sich nicht.


Habt alle beide echt vielen Dank für eure bisherigen Mühen und eure zugewendete Zeit.
Wenn ich euch aus meinem Metier heraus einen Gefallen tuen könnte, würde ich euch sofort nen Kuchen per Post zukommen lassen. Vielen Dank nochmals

Hi,

wir löschen noch die beiden Files:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
c:\windows\System32\xa68148085.exe
c:\windows\System32\xa68147897.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

hey Chris,

habs erledigt. die Dateien sind aber noch da. zumindest ihr Symbole.

aber er sagt mir: (bei einem weiteren Durchlauf)

PendingFileRenameOperations Registry Data has been Removed by External Process!



Danke

Hi,

das hört sich nicht gut an...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann bemühen wir noch Prevx:
Poste eventuelle Funde!, nur die:
http://www.prevx.com/freescan.asp

Bitte prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht-> ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

chris

Avenger sagt, die Dateien sind nicht mehr vorhanden. ich hab sie dann auch nicht mehr gefunden

PrevX CSI hat auch was gefunden---ist jetzt weg


Diese Datei(sys) hab ich nicht gefunden.als ob sie nicht vorhanden ist.
ich hab den Pfad genauso befolgt und das hat auch so geklappt. aber sie war nicht da.



ich lass jetzt nacheinander malwarebytes' anti-malware; spybot search&destroy; prevx csi und SUPERAntiSpyware durchlaufen.

"Welche davon soll ich denn behalten?" Alle?

Gruß Rob

Hi,

von Spyboot halte ich eigentlich nicht viel, Prevx würde ich drauflassen, der verträgt sich eigentlich recht gut mit anderen Lösungen (allerdings ist das kein "Realtime"-Schutz, dazu z. B. Avira etc. (was halt einen Guard hat))...

Was hatte Prevx noch gefunden?

Wir prüfen noch kurz den Bootblock (war vor einiger Zeit bei den Hackern mal "inn"):
MBR-Rootkit

Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




beim ersten durchlauf ergab es, das user und kernel nicht funktionieren. beim zweiten anlauf hat es dann geklappt.

prevx hat nichts mehr gefunden.
das sagt es sei alles clean

Weiteres VorGehen?????

Hi,

was treibt der Rechner?
Zu finden ist jetzt nichts mehr, entweder was sehr neues (was noch kein Scanner anzeigen kann bzw. sich gut genug versteckt)...
Gehst Du über einen Router ins Internet?

Alternativ um alle möglichen Beeinflussungen ausschließen zu können, bleibt nur noch ein Scann von einer Boot-CD...
z. B.:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

chris

der läuft wieder spitze.
danke für deine Hilfe.

es ist jetzt wieder alles in Ordnung.
Grüße R.