Wenn ich mein gedächtnis aktiviere dann habe ich ein javaupdate gemacht, ja stimmt ! aber der ausgang allen übels ist eine software gewesen bei der ich selber die setup exe gestartet habe... ich bins also selber schuld, habe den ordner mit der software auch noch hier... kann davon gern etwas irgenwo hin schicken, bin mir sehr sicher, dass es damit etwas zu tun hat... das java update war kurz davor ... nicht, dass der schein uns hier trügt...
danke !:

Die java.exe müsste sauber sein.

Bishher hab ich fast auf allen Logs hier diese drei Java-Deiten gesehen.
Bei mir existieren sie auch und sind digital signiert.

Wenn man sich das RSIT-Log anguckt, ist da noch viel mehr schädliches...
Bitte auf Virustotal auswerten lassen.

Die Mountpoint-Einträge stammen meiner Meinung nach von einem Autorun-Wurm...

Punkte (also ".") kann man nicht als Dateinamen verwenden.
@chris:
Mache bitte mal alle Verstekcten Ordner sichtbar und suche erneut manuell nach der Datei oder gib bei Virustotal direkt den Pfad ein.

Der eigentliche Pfad müsste so aussehen:
Für X den Laufwerksbuchstaben ersetzen.

Gruß
Handball10

Also ich bin ja überhauptkein experte... aber ich habe seid bestimmt 3 wochen einen virus,der sich auf alle wechselmedien setzt... das ding bringt immer das laufwerk zum rattern ist wohl auch ein bekannterer kollege... der hat aber nicht weiter gestört, immer wenn ich den löschen wollte war er wieder da ! den will ich natürlich auch weg haben, aber zum absturz meines systems hat der nicht beigetragen...behaupt ich mal ! irtum vorbehalten...

ok, dann lade auch die setup.exe bei VirusTotal hoch, mal sehen was das ist.

Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke :)

alles klar das mache ich, vielen dank für deine hilfe :daumenhoc

Danke, Bin leider für heute relativ verplant :D (Geburtstag, Training etc)
Ich übernehme gerne, aber dann würde es für den TO ein bisschen länger dauern (naja, er hat ja noch zu tun :) )

@chris
alle Ergebnisse von Virustotal als Link posten und anschließen MalwareBytes AntiMalware scannen.

Logfile bitte auch posten.

Allgemein jedoch, würde ich mir nicht allzugroße Hoffnung machen, da hier einiges am werkeln ist.

Gruß
Handball10

Hallo handball 10,
kann leider auch bei einlendung aller dateien das nicht finden, je nachdem in welchem log ihr das jetzt gefunden hattet, vielleicht ist es durch das benutzen der programme ccleaner usw... schon weggesperrt worden, es kann sein, dass ich heute nacht die reihenfolge der anwendungen falsch gemacht habe und daher das noch in einem der logs angezeigt wird... ich weiß auch nicht ... die anderen dateien hab ich gefunden und sende die ketzt zu virustotal...
lg

kann ich die dateien in einem zip ordner hochladen bei virustotal oder nur einzeln ?
kannst du mir sagen wenn du zum training gehst :-) ich sitz hier nämlich und aktualisiere alle 1,5 sekunden :-) many thanks

Bin in 20 Minuten weg - Bis heute Abend.

Zu den Dateien:
Das Beste (auch wen n es langwierig ist) alle einzeln hochzuladen.

Welche Programme hast du denn alles verwendet?

Gruß
Handball10

ich hab erst ccleaner dann den mbam und dann rsit, so wie in der boardanleitung benutzt sonst war da keine andere software dran ...
soll ich alle infos die mir von virustotal gezeigt werden hier in form von logfilecodes einbinden ? mach ich gern !

Poste bitte das Logfile.

jap ;)

Gruß
Handball10

also ein richtiges logfile bekomme ich da nicht, habe die ganzen infos die aufgezeigt werden per copy and paste genommen, hoffe das ist richtig, wenn nicht bitte nochmal erklären wie ich an ein richtiges logfile komme... damit ich es bei den vielen anderen daten richtig mache
lg

Ich meine das Logfile von MalwareBytes ;)

Wie du die VT-Ergebnisse postets ists richtig :daumenhoc:

Lass anschließend dem gescanne GMER laufen.

Auch dieses Logfile :D bitte posten.
So, ich muss jetzt weg :)

Viel Erfolg noch

Gruß
Handball10

das is bei der datei 225.tmp herraus gekommen, komisch das da was von malw_13.ex_ steht als name ???? es wurde mir geschrieben,dass die datei bereits gestern hochgeladen wurde... :-) aber nicht von mir ! so dann ma weiter ...
[code]
Datei malw_13.ex_ empfangen 2009.09.21 17:30:41 (UTC)
Status: Beendet
Ergebnis: 21/41 (51.22%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 Win32.Virtob!IK
AhnLab-V3 5.0.0.2 2009.09.21 -
AntiVir 7.9.1.23 2009.09.21 TR/Agent.ANOC.6
Antiy-AVL 2.0.3.7 2009.09.21 Trojan/Win32.Rabbit.gen
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.20 Win32:Trojan-gen {Other}
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 Trojan.Agent.ANOC
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2393 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.21 Trojan.Win32.Rabbit.aau
Fortinet 3.120.0.0 2009.09.21 W32/FakeAlert.ID!tr
GData 19 2009.09.21 Trojan.Agent.ANOC
Ikarus T3.1.1.72.0 2009.09.21 Win32.Virtob
Jiangmin 11.0.800 2009.09.21 Trojan/Rabbit.fa
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 Trojan.Win32.Rabbit.aau
McAfee 5748 2009.09.21 FakeAlert-ID
McAfee+Artemis 5748 2009.09.21 FakeAlert-ID
McAfee-GW-Edition 6.8.5 2009.09.21 Trojan.Agent.ANOC.6
Microsoft 1.5005 2009.09.21 Trojan:Win32/Malagent
NOD32 4444 2009.09.21 -
Norman 6.01.09 2009.09.21 W32/Renos.AAVE
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 Suspicious file
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 High Risk Cloaked Malware
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 Trojan.Pandex
TheHacker 6.5.0.2.014 2009.09.21 -
TrendMicro 8.950.0.1094 2009.09.21 TROJ_RABBIT.AF
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 27176 bytes
MD5 : ce0fdab7e7dfa4e34fd496384bb3806a
SHA1 : d804f9865319626ceacbd8fe6c2e7fac3835d71e
SHA256: c2f3ed6e4a4eaa80f407b3942b5718806932377b90aab606a56306b21e44d971
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31D
timedatestamp.....: 0x4AAF9A5C (Tue Sep 15 15:45:00 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x192 0x200 4.78 65540954153469f20b3e8570a7357b8b
.rdata 0x500 0xD6 0x100 3.54 53f5fdffc6b334ac92956c843fd00559
.data 0x600 0x33 0x100 1.24 d11b166fccd6174ba1596f188114ce61
.rsrc 0x700 0x538 0x600 3.01 f006f427dd9672a6d8b0aa8b23e396ea
.hehe 0xD00 0x5E00 0x5E00 7.70 ff224e433807bd5a403444278178bd31

( 1 imports )

> kernel32.dll: ExitProcess, GetModuleHandleA, GetProcAddress, LoadLibraryA, Sleep, VirtualAlloc

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:wVWy+lJ07y7wx6UawOA7JILhTiVlqjat6FHrjN13nyEfx9EH43f2ABGoYXX:6Wgxx6Twd7JMWVlatj/31fx9EYNBGTXX
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=86D67DE3282014D66AB400D6BD73A8002CC9F1B2
PEiD : -
RDS : NSRL Reference Data Set

so bei 226.tmp wird mir nur das hier angezeigt...
"0 bytes size received / Se ha recibido un archivo vacio"