|
Icons und Bilder verschwunden, fakealert, realplay.exe Hallo, neuerdings wird meine CPU zugemüllt mit über 500 Prozessen realplay.exe, was zu einer 100-Prozentauslastung führt. Die Icons in der Programm-Liste im Start-Menu und auf dem Desktop sind verschwunden. Alle Bilder und alle Musik-Dateien sind verschwunden. Ich nutze Windows XP und habe das SP2 installiert. Der Versuch SP3 zu installieren geht nicht über das automatische Update. Ich habe dann SP3 heruntergeladen. Beim Versuch diese zu installieren kam die Meldung, dass C:\Windows \system32\drives\volsnap.sys geöffnet ist oder von einer anderen Anwendung verwendet wird und ich dieser erst schließen solle – geht nicht. Beim Internetexplorer kommt eine Skriptfehlermeldung von der URL: hxxp://www2a.glam.com/mobile/detect.act?affiliateId=38198522 Als Virenscanner habe ich Avira Antivir Personal laufen lassen, der folgende Funde ergeben hat: TR/ATRAPS.Gen2, TR/Kazy.mekml.1, JAVA/Exdoer.BJ.2. Nach einem erneuten Suchlauf war laut Avira alles sauber. Dann habe ich noch Malwarebytes laufen lassen. Der hat in C:\\Windows\system32\Macromed\Flash\Flashutil10m-Archivex.exe folgenden Trojaner gefunden und eliminiert: FakeAlert!fakealert-REP.trojan. Das alles hat aber zu keinerlei Verbesserung geführt. Ich habe dann noch ein Update von Malwarebytes gezogen und noch so paar Biester gefunden und gekillt. Was ich bisher noch unternommen habe: Ich habe mir in der Anzeige alle versteckten Dateien anzeigen lassen. Die Icons auf dem Desktop und meine Bilder und meine Musik sind wieder aufgetaucht aber ausgegraut und lassen sich nicht öffnen – eben versteckte Dateien. Den Realplayer habe ich deinstalliert. Dadurch habe ich das Realplayer-Prozesse-Problem erstmal ausgehebelt. Zudem habe ich nach eurer Anleitung TFC.exe laufen lassen (erfolgreich). Erunt-setup.exe hat geklappt. OTL.exe hat auch geklappt und OTL.txt und Extras.txt erzeugt, siehe Anhang. Im letzten Schritt habe ich alle Programm deaktiviert – nur die automatische Interneteinwahl ließ sich nicht deaktivieren und lief weiter (das Netzwerkkabel war die ganze Zeit gezogen). Bei Gmer.exe kam die angekündigte, potenzielle Warnmeldung. Ich habe auf Nein geklickt. Den Haken bei IAT/EAT entfernt, nur C:\ anehakt und show all war abgehakt. Jedoch misslang der Scan nach etwa 2 Minuten und wurde abgebrochen. Das was erzeugt wurde, habe ich gespeichert unter Gmer.txt, siehe anbei. Außerdem finden sich anbei die letzten 5 Malwarebyte Protokolle. Ich bitte um eure Hilfe. Vielen Dank im Voraus. Grüße Alex |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL :Files C:\Dokumente und Einstellungen\***\Anwendungsdaten\Regmod :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
hi, bitte wenn ich dich bitte zu uploaden poste im topic wenn erledigt. hatt das mit unhide geklappt? |
Hallo Markus, Unhide hat super geklappt. Die Dateien sind wieder da. Vielen Dank. Die gewünschte Datei habe ich hochgeladen. Gruß Alex |
hi, hast du im otl script *** durch den nutzernamen ersetzt? kannst du das noch mal machen, script ausführen und erneut moved files packen und hochladen? |
Hallo Markus, ich habe OTL laufen lassen und im Script *** durch meinen Nutzernamen ersetzt. Die neu erstellte Textdatei findest du anbei. Gruß Alex |
mach mal den upload im upload channel des gepackten otl ordners |
Hallo Markus, ich habe MovedFiles gepackt und über den UpLoadChannel hochgeladen. Außerdem habe ich zu deiner Information mal noch einen Screenshot der laufen Prozesse hochgeladen. Da läuft total viel, obwohl ich sonst keine Programme offen habe. Gruß Alex |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hallo Markus, habe CCleaner gestartet und Combofix. Avira ließ sich erst nicht beenden. Auch über den Task-Manager ließ es sich nicht abschalten. Ich hatte dann über den Expertenmodus in Avira alle Aktivitäten gestoppt - hoffe das war dann erfolgreich. Dann habe ich Combofix gestartet, das seit 14 Stunden läuft. Es tat sich immer mal wieder was. Vor 4 Stunden stand es bei der Stufe 27. Jetzt hat es gerade einen Sprung auf 31 gemacht. Soll ich es noch laufen lassen? Wieviele Stufen sind es insgesamt? Gruß Alex |
versuchs mal abzubrechen und starte im abgesicherten modus ohne netzwerk, bei pc start mit f8 und lass es höchstens 1 stunde laufen, dann meld dich. |
Hallo Markus, jetzt hat's geklappt. Hier das Ergebnis als Anhang, in dem ich den Nutzername mit *** ersetzt habe. Das System fragt, ob ich einen Wiederherstellungspunkt wiederverwenden soll. Soll ich, oder was soll ich machen? Gruß Alex |
klicke mal nein. was ich hier sehe gefällt mir nicht. machst du onlinebanking bzw einkäufe oder sonst was wichtiges? öffne arbeitsplatz c: rechtsklick qoobox, mit winrar oder zip packen. dann hochladen. http://www.trojaner-board.de/54791-a...ner-board.html falls zu groß File-Upload.net - Ihr kostenloser File Hoster! dort hochladen, link als private nachicht an mich |
geht nicht, denn folgendes wird beim Zippen oder kopieren angenzeigt: 0 WARNUNG: Zugriff verweigert 1 :C:\Qoobox\BackEnv\ Beim kopieren kann ich BackEnv nicht kopieren. |
Ja, ich mache Online-Banking und kaufe ein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:28 Uhr. |
Copyright ©2000-2024, Trojaner-Board