Personal Shield pro entfernung
 

Hallo zusammen,

habe gestern einen Rechner bekommen der mit Personal shield Pro verseucht ist.
So, hier habe ich auch schon das ein oder Andere dazu gefunden.
Problem bei mir: Ich will ihn nicht ans netzwerk hängen da ich befürchte das dadurch weitere Viren oder Personal Shield Pro selbst auf andere Rerchner/Server zugreift.
Gibt es irgendeine Art den Virus zu entfernen ohne eine InternetVerbindung zu haben?
Bisher wurde Folgendes Gemacht:
#1 Mit vorhandenem Avira Anti Vir Free ein Scan durchgerführt.
Ergebnis: Vorzeitig abgebrochen da der Fortschrittsbalken nach ca 11 Std bei 30 % war und 2 Viren gefunden wurden.

#2 Windows im Abgesicherten Modus gestartet. (als Administrator angemeldet) und Combofix aufgeführt.
Problem hierbei: "Ausführen als" nicht möglich mit der Begründung "Dieser Dienst kann nicht ausgeführt werden"
Ohne expliziete Anweisung, als Admin zu starten, funktioniert es.
Allerding kommt Combofix dabei nur bis zu Fertigstell Stufe 3.
Danach passiert einfach garnichtsmehr.
(Schon öfters Combofix benutzt und ein Aufhängen des Programms noch nie festgestellt)

Bin Ratlos da die für mich einzigsten in Frage kommenden Mittel nicht funktionieren ._.
Mfg
Sonic

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

• Tool: rkill.com Download Link (umbenannt: iExplore.exe) von Grinler herunterladen und mit doppelklick ausführen.
  
  Sollte rkill.com nicht starten, versuche es mit einer umbenannten Version wie iExplore.exe
  
  
  http://www.trojaner-board.de/attachm...aning-tool.png
  
  
  Das Tool stoppt alle Prozesse von Personal Shield Pro.
  
  Bei Bedarf mehrmals ausführen, bis alle ungewünschten Prozesse beendet wurden.

Schritt 2

• Starte einen vollständigen Scan mit Malwarebytes Anti-Malware

Achtung: Diese Fake Software wird versuchen, den Einsatz von Malwarebytes zu verhindern. Benenne das Setup vor dem speichern in etwas anderes um (z.B. Herbert.exe).

Falls es vorher nicht funktioniert hat, sollte das Setup jetzt starten.

Wenn das Programm nach der Installation nicht starten sollte, dann benenne die "mbam.exe" in "herbert.exe" um und versuche es erneut.

Sollte MBAM trotzdem nicht starten: Malwarebytes Anti-Malware startet nicht

http://www.trojaner-board.de/attachm...ntfernen-2.png

Okay hier ist das Log von Malewarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7635

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.09.2011 11:18:53
mbam-log-2011-09-02 (11-18-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 220610
Laufzeit: 18 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> No action taken.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_CLASSES_ROOT\webmedia.chl (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Browser Toolbar (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Online Alert Manager (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\navigator (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Gen) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
c:\spy.qwas (Trojan.SpyEyes) -> No action taken.
c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\appconf32.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\nb15501dfhne15501\nb15501dfhne15501.exe (Trojan.FakeAlert) -> No action taken.
c:\dokumente und einstellungen\Dieter\anwendungsdaten\Sun\Java\deployment\cache\6.0\5\3d702245-2b2136b3 (Malware.Gen) -> No action taken.
c:\dokumente und einstellungen\Dieter\anwendungsdaten\Sun\Java\deployment\cache\6.0\61\84c10bd-2e7f6911 (Trojan.FakeAlert) -> No action taken.
c:\spy.qwas\config.bin (Trojan.SpyEyes) -> No action taken.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\Dieter\favoriten\run virus scan.url (Trojan.Zlob) -> No action taken.
c:\dokumente und einstellungen\all users\startmenü\online spyware test.url (Trojan.Zlob) -> No action taken.
c:\dokumente und einstellungen\all users\startmenü\run virus scan.url (Trojan.Zlob) -> No action taken.
c:\dokumente und einstellungen\Dieter\lokale einstellungen\temp\0.9113498900931148.exe (Exploit.Drop.2) -> No action taken.

Wahnsinn das er 27 Viren gefunden hat o_O
Beim Entfernen hab ich die Meldung bekommen, das einige Viren nicht gelöscht/in quarantäne verschoben werden konnten ??
Verträgt sich MalewareBytes mit AVG Free edition?
Vielen Danke für die Antwort und das Gute Antivir Programm ;)

Schritt 1

Hast Du neu gestartet? Falls nicht, dann mach es.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread