Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme
 

Moin,
ich hatte folgende Trojaner und ähnliches Zeugs auf meinem Rechner.
Begonnen hat als mit einer Meldung wie Festplatte oder Sektor defekt, dann startet das Programm 'Windows 7 Recovery', Hammer.

Trojaner und Viren habe ich mit Hilfe Avira und Malwarebytes entfernen können, hier die Liste der Viren:
C:\ProgramData\SkMtEGuPVoS.exe ist das Trojanische Pferd TR/Kazy.26024.5
AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc

Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD

AppData\Local\Temp\Low\Adobe_Flash_Player.exe Ist das Trojanische Pferd TR/Kazy.25880.4
AppData\Local\Temp\Low\R66v.exe Ist das Trojanische Pferd TR/Kazy.25880.4

Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.S
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.V
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.X
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y

AppData\Local\Temp\Low\Adobe_Flash_Player.exe' Ist das Trojanische Pferd
TR/Dldr.Dapato.eu.1


Avira hat entfernt:

Beginne mit der Suche in 'C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe'
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Dapato.eu.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abc03f6.qua' verschoben!

Beginne mit der Desinfektion:
C:\Users\xxxx\AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b101a7a.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\47b9d066-7d4eb6ee
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '538435af.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\3bd8d795-7de7a4f1
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01d96f3a.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\R66v.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67982084.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22670dc8.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\jar_cache6565206885944589810.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d433fa4.qua' verschoben!

Beginne mit der Desinfektion:
C:\ProgramData\SkMtEGuPVoS.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.26024.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a075981.qua' verschoben!


Malwarebytes hatte folgendes Endergebnis:
c:\programdata\32104184.exe (Trojan.FakeMS) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE3B.exe (Trojan.Agent) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE5B.dll (Trojan.Agent) -> No action taken.
c:\Users\xxxx\AppData\Local\Temp\Low\tmpECB5.tmp (Trojan.FakeMS) -> No action taken.



Aber der PC verhält nun noch ungewöhnlich, nach Neustart und Anmelden (nicht als Admin) gibt es schon zwei IE Prozesse, bei google Suche wird auf teilweise andere Suchseiten wir searchmirror weitergeleitet, der ie scheint sich zu verschlucken läuft dann aber weiter, der flashplayer gibt keine Ton mehr von sich (Systemtöne funken, mediaplayer ist auch mit Ton), zwischendurch hatte der IExplorer nach Start in Adressleiste 'aboutSecurity' stehen, Wunsche habe ich ausgeführt, Meldung kommt nicht mehr.

Malwarebytes (ist erst seit 2 Tagen aktiviert) hat diese Logeinträge:
10:10:41 xxxxx IP-BLOCK 208.87.32.68 (Type: outgoing, Port: 51348, Process: iexplore.exe)
10:11:45 xxxx IP-BLOCK 94.63.149.95 (Type: outgoing, Port: 51366, Process: services.exe)
23:12:14 xxxx IP-BLOCK 208.73.210.29 (Type: outgoing, Port: 49977, Process: iexplore.exe)


Was muss ich tun?
Gruß, Stefan

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis. :)

Hallo M-K-D-B,
danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' :daumenhoc kümmerst.

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Das ist der Inhalt von :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:10 on 12/06/2011 (xxxxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Gruß, Stefan

Hallo Stefan,

Es sind ja Ferien. :daumenhoc


Ja, geht in Ordnung. Einfach weitermachen.
Danke schon mal für das erste Logfile.

Hallo M-K-D-B,
ja, Ferien, ich hab nur Pfingstfrei ...
hier die nächsten Logfiles, siehe Anhang.
Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...
Gruß, Stefan

Hallo Stefan,





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Dein Nachbar hat dir bereits geholfen:
  
  Zitat:

  Zitat von sbie (Beitrag 671200) Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...

  Warum hast du das nicht erwähnt?
• Warum wurde ComboFix ausgeführt?
  Bitte lesen: ComboFix
• Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.
• Welche Tools wurden neben ComboFix und OTL noch eingesetzt?
• Gibt es sonst noch etwas, was ich wissen sollte?
• Welche Probleme hast du derzeit noch mit deinem Rechner?
• Wann hast du dich mit Windows 7 Recovery infiziert?

Dein Rechner ist immer noch mit Malware infiziert.

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• alle Logfiles von MBAM,
• das Logfile von ComboFix,
• die Beantwortung der gestellten Fragen und
• alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Hallo M-K-D-B,
erst einmal vielen Dank das Du immer noch an der Tastaur 'klebst', ohne deine Hilfe wären viele ohne Hilfe.
Weiss auch nicht ganz genau was alle bisher lief, ich versuche alle Fragen zu beantworten, hoffentlich bekomme ich das mit den Zitaten usw hin.. und lade alle hoch..


Als oberflächlich alle Viren verschwanden war ich sehr froh, wer die nun erledigt hat und wie ...... Große Entschuldigung der Nichterwähnung

Ich sach nur Nachbar :-), Logfile kommt...

Genau da war es, siehe Anhang.

Sowas wie unhide , nachdem ''Windows 7 Recovery' und alles gelöscht schien, lies ich meine Hände von der Tastastur und (Viertel)Profis an den PC (Er ist aber trotzdem noch mein guter Nachbar, aber nach Diktat verreist)

Das fällt mir doch immer erst später ein.... :-(
IE 9 wurde am am 9. auf IE 8 'runtergelevelt', da ohne youtube Ton
Nachdem ich Extras.txt nicht gefunden habe, habe ich otl nachmal laufen lassen, also nochmal nach gmer
Malwarebytes (wer hat das eigentlich gestartet) bringt Fehler wie Failed to perform desired action, Error 2 oder 5
Meine Tochter sagt 'facebook' wurde plötzlich geschlossen.
Dort kann sie auch nicht mehr diese komischen Spiele ausführen da der IE immer neu lädt oder neu startet..
Teilweise verlinkung auf Werbe oder andere Suchseiten.., extrem langsame Suchzeit auf google, manchmal war google nach Suchaufruf erst relativ 'leer', flashplayer youtube ihne ton..

Gesehen selbst habe ich es am 9.6.11, da war der Bock fett..

Ich habs geahnt, aufregen nützt aber nichts.

Ich kann ich fast vorstellen wie es mit Ignoranten ;-)) zu arbeiten, aber das sind nun mal die Eigenheiten der Mensch.. von Mir..

Ich bin kein Freund der Windows 7 Suchfunktion, vorher konnte ich direkt im Explorer ... , siehe Anhang, eins habe ich gefunden mbam-log-2011-06-09 (21-31-31)
Ausschnitte aus den protection log hast du ja schon.

Hochgeladen, das war einfach, war ja direkt auf C:

Nach gutem und reinem Gewissen (hoffentlich nichts vergessen und kaum Schreibfehler)
Für den Stress lad ich Dich mal zum Bier ein.
Gruß Stefan

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Hallo Stefan,


Dafür gibt es die sogenannten Code-Boxen über dem Textfeld.
Das Symbol dafür sieht in etwas so aus: # ;)




Schritt # 1: ComboFix.exe löschen
Lösche bitte die vorhandene Datei ComboFix.exe von deinem Desktop.





Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix.

Moin M-K-D-B,

bei Ausführung ComboFix erschien kein Fenster 'Rückfrage Wiederherstellungskonsole', das zweite auch nicht, dafür ist der IE (geöffnet um die Anweisungen zu lesen) sofort gestorben. Den AntiVir Guard habe ich deaktiviert.

Und hier das neu Logfile:
Combofix Logfile:
--- --- ---

Klappt wunderbar mit #
In dem Log habe ich den Admin auf 5x gestellt, die anderen 4 User von 1x bis 4x geändert.

Gruß, Stefan

Hallo Stefan,





Schritt # 1: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 2: Malwarebytes' Anti-Malware deinstallieren
Downloade Dir bitte MBAM-clean.exe
und speichere die Datei auf dem Desktop

• Bitte deinstalliere Malwarebytes via Systemsteuerung --> Programme deinstallieren
• Starte den Rechner neu auf.
• Starte die mbam-clean.exe.
• Das Tool wird erneut einen Neustart verlangen. Dies bitte zulassen.

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix,
• das Logfile von MBAM und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B,
hier meine Rückmeldung.

im Anhang
1. ComboFix02.txt
2. mbam log
3. otl.txt
4. extras.txt

Zwischendurch kam die mbma Meldung
19:40:55 xxxx IP-BLOCK 64.120.141.163 (Type: outgoing, Port: 49364, Process: iexplore.exe) :eek:

Gruß, Stefan

Hallo sbie,






Schritt # 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition

• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt # 3: Systemscan mit OTL

• Starte bitte OTL.exe und drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix,
• das Logfile von SAS und
• das neue Logfile von OTL (OTL.txt).

Hallo M-K-D-B,

hier die Logs,
1. aus FIX mit OTL
2. Log aus SuperAntiSpy
3. und der QuickScan von OTL
Da war doch irgendwo noch der :pfui: Windows 7 Recovery :kloppen:

Nach einer Neuanmeldung sind schon zwei IE Prozesse aktiv (im Taskmanager zu sehen), ist das normal?
Und mbam bringt Failed to perform desired action Error 2

Gruß, Stefan

Hallo Stefan,





Schritt # 1: Beantwortung deiner Fragen
Das könnte am Schutzmodul von MBAM liegen, das du bei der letzten Installation aktiviert hast. Darum kümmern wir uns zum Schluss.


Hattest du zu diesem Zeitpunkt den Internet Explorer bereits gestartet?
Wie läuft dein Rechner derzeit?
Gibt es noch weitere Probleme neben den genannten?


Eventuell haben wir was übersehen. Bitte folgendes durchführen:





Schritt # 2: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
  Solltest du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

  • Drivers
  • Stealth Code
  • Files
  • Code Hooks

  Entferne alle anderen Hacken
  

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

  File --> Save Report

  klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen
Klicke auf OK





Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Nichts und danach den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: DDS Systemscan
Downloade Dir bitte DDS.scr ( von sUBs ) und speichere die Datei auf dem Desktop.

Schließe alle laufenden Programme und starte die DDS.scr mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• DDS wird 2 Logfiles erstellen.
  • DDS.txt
  • Attach.txt
• Speichere beide Dateien auf dem Desktop.

Poste mir bitte die DDS.txt und die Attach.txt hier in deinen Thread.





Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von RKU,
• das Logfile von aswMBR,
• das neue Logfile von OTL (OTL.txt) und
• die beiden Logfiles von DDS.

Hallo M-K-D-B,

komme momentan nicht weiter, siehe 3.

Hier schon mal 2 Antworten.
1. OK, mbam zum Schluss.
2. Nein, die IE Prozesse sind sofort nach Anmeldung aktiv, kein IE manuell gestartet.
3. Beim entpacken RkU3.8.389.593.rar bekomme ich nur die RKUnhookerLE.EXE, kein Ordner und damit kein RKU3.8.388.590.exe (auch mit Suchfunktion nicht zu finden)
Was ist zu tun?

Gruß, Stefan