ürgendwelche viren haben mich befallen
 

Hi die mir helfen wollen :) ich brauche dringend hilfe ich kenne mich nämlich garnicht mit pc´s aus :/ ich hab mir paar beiträge durchgelesen und ein prog runtergeladen nämlich malwarebytes hab es durchlaufen lassen und es hat über 50 verschiedene malware trojaner und hijacks oder so gefunden . nach 5 maligen scannen und löschen findet er immer die selben 6 viren ich zeigs einfach

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org


Windows 7 Service Pack 1 x64 NTFS

Johan :: JOHAN-HP [Administrator]

Schutz: Aktiviert

30.03.2013 21:21:00
MBAM-log-2013-03-30 (21-29-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216347
Laufzeit: 6 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|54940 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\mswekcw.com -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\Local Settings\Temp\mswekcw.com (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)



kann mir jemand helfen diese viren vollständig zu entfernen ohne das ich den pc formatieren muss :/ habe windows 7 64 bit :/ danke schon mal

Hallo und :hallo:

Ich bin Christoph alias DerJazzer. Ich werde dich durch die Bereinigung begleiten und bin währenddessen dein Ansprechpartner für dieses Thema.

Je nach Art der vorliegenden Infektion kann viel Arbeit und ein großer Zeiteinsatz auf dich (und auf mich) zukommen. Ein Neuaufsetzen ist damit meist als der schnellere, aber immer als der sicherere Weg zu betrachten.

Für den Erfolg der Bereinigung gilt:
Ich kann dir zu keinem Zeitpunkt garantieren, dass der PC nach der Bereinigung auch wirklich frei von Malware ist!

Wenn du das akzeptierst, bitte ich dich, hier so lange mitzuarbeiten, bis ich dir sage, dass der PC aus meiner Sicht malwarefrei ist.

Um die Bereinigung so effektiv und nervenschonend wie möglich zu gestalten, bitte ich dich, folgende Punkte ebenfalls zu beachten:

• Bitte arbeite alle Schritte in der von mir genannten Reihenfolge nacheinander ab.
• Bitte lies dir meine Anleitungen einmal kurz durch, bevor du beginnst. Solltest du Fragen haben, stelle sie bitte hier im Thema.
• Sollten während des Abarbeitens der Anleitungen und des Einsaztes der geforderten Tools Probleme auftauchen, stoppe bitte bei dem betreffenden Schritt und beschreibe dein Problem so genau wie möglich.
• Bitte setze keine Tools auf eigene Faust ein, sondern benutze nur von mir ausdrücklich geforderte Tools. Ebenso bitte ich dich, während der Bereinigung keine neuen Programme ohne meine Aufforderung zu installieren.
• Im Interesse der Höflichkeit (auch im "anonymen" Internet!) appelliere ich an dich, sog. Crossposting (Posten deines Problems in mehreren Foren) auch aus Wertschätzung meiner Arbeit zu unterlassen.

Um mir das Auswerten deiner Logs (Berichte der verwendeten Programme) zu erleichtern, bitte ich dich, diese zwischen Code-Tags zu posten. Dazu drückst du einfach den #-Button im Antwortfenster und fügst dort zwischen den eckigen Klammern dein Log ein. Das sieht dann so aus: [CODE] eingefügtes Log [/CODE]

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Befolge bitte die hier geschilderten Anweisungen und poste die geforderten Logfiles.

Bitte poste in deiner nächsten Antwort

• OTL.txt & Extras.txt
• Gmer.txt

Danke das du mir hilfst :) . ich bin johan und freue mich sehr das du mir hilfst christoph. ich bin grade dabei gmer zu downloaden ich stelle es dann gleich alles hoch . ich wünsche dir ein frohes oster fest :)

das ist jetzt OTL und Extras :)

Ok das waren jetzt OTL extras und Gmer ich hoffe ich habe nichts falsch gemacht . ich werde alle anweisung von dir befolgen und mit dir gut zusammenarbeiten :D

Hi Johan ;)

da hast du dir ja einiges angelacht. Schaun wir mal, wie wir die pöhsen Jungs verjagen:

Schritt 1

Hast du diese Dateien erstellt und in den Autostart gesetzt? Wenn ja, was bezweckst du damit?

Schritt 2

Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall Vuze.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und dies ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine infizierte Datei herunterlädst. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Dennoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben erwähnte Software.

Bitte gib Bescheid wenn Du eines der gelisteten Programme nicht finden kannst.

Schritt 3

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 5

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Bitte poste in deiner nächsten Antwort

• Antwort auf meine Frage
• aswMBR.txt
• JRT.txt
• TDSSKiller-Log

ich kann jetzt mit meinem pc nicht mehr ins internet also ich öffne google chrome und es lädt .das gleiche wie bei internet explorer . ich muss schauen wie ich dir die daten hoch lade will den laptop von meiner mum nicht infizeiren ^^ und ich kenne mich nicht aus mit dem autostart also ich hab gar nichts gemacht und weis auch nicht was das nützen sollte :D kenne mich mit pc´s wirklich nicht gut aus :/

Die Logs kannst du ohne Bedenken auf den PC deiner Mutter (zB per Stick) übertragen. Das sind nur Textdateien, die können (normalerweise) nicht infiziert werden.

okay :) das inet geht wieder kann es von meinem pc wieder machen fange jetzt sofort damit an :)

ADWCbei JRT kommt keine txt datei und TDSSkiller schliest dich das prog immer von selber so nach 10 sekunden

Seltsam...

Mache mal Folgendes:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

also tdsskiler hab ich gefunden

hm combofix erstellt mir keine txt datei ich bekomme nur ein ordner in C der so heisst 32788R22FWJFW . wenn ich drauf klicke komme ich in den computer ordner wo C: D: und das laufwerk sind

Das TDSSKiller-Log ist unvollständig. Bitte nochmal posten und notfalls den Scan mit TDSSKiller wiederholen.

Wegen Combofix mache mal Folgendes:

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Jetzt sollte Combofix gelöscht sein. Wenn der Ordner noch da ist, einfach von Hand löschen.

Danach Combofix neu herunterladen und nach obiger Anleitung erneut ausführen.

ich gebs auf nix funkt mehr kannst du mir helfen wie ich den pc richtig formatiere combofix lässt sich nicht deinstalieren einige sachen laufen nicht mehr gehen nicht an wie zum beispiel s4 league runes of magic oder left 4 dead 2 die spiele starten sich nicht :/ ich hab die windows cd nicht mehr hab den computer gekauft da war windows schon drauf

Jetzt mal ganz ruhig und Stück für Stück.

Was heißt "combofix lässt sich nicht deinstallieren"? Gibts da ne Fehlermeldung oder was macht Combofix?

Was läuft nicht mehr? Hast du schonmal neugestartet?
Die Spiele kannst du ja von CD aus Neuinstallieren.

(und ich kanns einfacher lesen wenn du in ganzen Sätzen mit Punkt und Komma schreibst ;) )

ok :D Ich drücke halt die Windows Taste + R , schreibe dort rein Combofix/Uninstall dann kommt eine fehlermeldung "Combofix/Uinstall konnte nicht gefunden werden. Stellen Sie sicher , dass Sie den Namen richtig eingegeben haben und Wiederholen Sie den Vorgang." und ich habe ein bot für das spiel gedownloadet und glaube das da der virus her kommt. Das war ein bot wo Automatisch Capseln vom Spiel geöffnet werden. Ich habe vergessen die datei mit VirusTotal zu scannen. :/ und was ich auch komisch finde ich habe das spiel deinstalliert wieder instaliert es lässt sich nicht öffnen . Kann es sein das der Virus die spiele Blockiert ? ich habe auch nochmal Malwerbytes laufen lassen[CODE16:51:47.0825 4352 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
16:51:47.0923 4352 ============================================================
16:51:47.0923 4352 Current date / time: 2013/04/01 16:51:47.0923
16:51:47.0923 4352 SystemInfo:
16:51:47.0923 4352
16:51:47.0923 4352 OS Version: 6.1.7601 ServicePack: 1.0
16:51:47.0923 4352 Product type: Workstation
16:51:47.0923 4352 ComputerName: JOHAN-HP
16:51:47.0924 4352 UserName: Johan
16:51:47.0924 4352 Windows directory: C:\Windows
16:51:47.0924 4352 System windows directory: C:\Windows
16:51:47.0924 4352 Running under WOW64
16:51:47.0924 4352 Processor architecture: Intel x64
16:51:47.0924 4352 Number of processors: 2
16:51:47.0924 4352 Page size: 0x1000
16:51:47.0924 4352 Boot type: Normal boot
16:51:47.0924 4352 ============================================================
16:51:48.0207 4352 Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
16:51:48.0211 4352 ============================================================
16:51:48.0211 4352 \Device\Harddisk0\DR0:
16:51:48.0211 4352 MBR partitions:
16:51:48.0211 4352 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
16:51:48.0211 4352 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x38F6A800
16:51:48.0211 4352 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x38F9D000, BlocksNum 0x13E8800
16:51:48.0211 4352 ============================================================
16:51:48.0231 4352 C: <-> \Device\Harddisk0\DR0\Partition2
16:51:48.0279 4352 D: <-> \Device\Harddisk0\DR0\Partition3
16:51:48.0279 4352 ============================================================
16:51:48.0280 4352 Initialize success
16:51:48.0280 4352 ============================================================
]19:01:02.0554 2212 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
19:01:04.0555 2212 ============================================================
19:01:04.0555 2212 Current date / time: 2013/04/01 19:01:04.0555
19:01:04.0555 2212 SystemInfo:
19:01:04.0555 2212
19:01:04.0555 2212 OS Version: 6.1.7601 ServicePack: 1.0
19:01:04.0555 2212 Product type: Workstation
19:01:04.0555 2212 ComputerName: JOHAN-HP
19:01:04.0556 2212 UserName: Johan
19:01:04.0556 2212 Windows directory: C:\Windows
19:01:04.0556 2212 System windows directory: C:\Windows
19:01:04.0556 2212 Running under WOW64
19:01:04.0556 2212 Processor architecture: Intel x64
19:01:04.0556 2212 Number of processors: 2
19:01:04.0556 2212 Page size: 0x1000
19:01:04.0556 2212 Boot type: Normal boot
19:01:04.0556 2212 ============================================================
19:01:09.0388 2212 Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
19:01:09.0412 2212 ============================================================
19:01:09.0412 2212 \Device\Harddisk0\DR0:
19:01:09.0412 2212 MBR partitions:
19:01:09.0412 2212 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
19:01:09.0412 2212 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x38F6A800
19:01:09.0412 2212 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x38F9D000, BlocksNum 0x13E8800
19:01:09.0412 2212 ============================================================
19:01:09.0498 2212 C: <-> \Device\Harddisk0\DR0\Partition2
19:01:09.0685 2212 D: <-> \Device\Harddisk0\DR0\Partition3
19:01:09.0685 2212 ============================================================
19:01:09.0685 2212 Initialize success
19:01:09.0685 2212 ============================================================
19:01:15.0770 4524 Deinitialize success
[/CODE]
Diese ganzen TDSSkiller habe ich in C

Also:

Du hast bei Combofix wahrscheinlich das Leerzeichen zwischen "Combofix" und "/Uninstall" nicht beachtet. Bitte probiere es nochmal aus und berichte.

Schritt 1

Zu welchem Spiel hast du was für einen Bot heruntergeladen? Lade ihn bitte mal wie folgt bei VT hoch und poste mir den Link zur Analyse:

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  --hier Pfad zum Bot eintragen oder über Choose File suchen--

  ---

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2

Lösche bitte mal ALLE TDSSKiller-Logs (sind alle unvollständig) und den TDSSKiller, und lade ihn neu herunter und führe ihn aus:

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.



Nebenbei: Ich hatte in meinem ersten Post geschrieben, du sollest während der Bereinigung keine Tools auf eigene Faust ausführen und keine Programme installieren, ohne dass ich dir Anweisung dazu gebe. Bitte beachte das zukünftig (ich hatte dir weder Anweisung gegeben irgendwelche Bots herunterzuladen noch MBAM auszuführen) ;)

Ich habe zu S4League einen Bot runtergeladen das war aber vor dem ich den virus hatte und mit dir kontackt aufgenommen habe :) der bot wurde aus dem netz genommen und tut mir leid das ich MBAM gestartet habe :/ dachte nur halt es wäre vllt gut :) und nein ich habe das leerzeichen nicht vergessen habe es grade versucht es geht nicht und tdssk mach ich jetz nochmal :D

Hat der TDSSKiller inzwischen Ergebnisse geliefert?

Wenn das mit Combofix so wirklich nicht funktioniert, dann versuchs so:

Downloade dir bitte CF_UNINST.exe und speichere diese auf deinem Desktop.

• Starte die CF_UNINST.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Folge den Anweisungen auf dem Desktop.
• Wenn das Tool fertig ist sollte sich ein Fenster mit folgendem Inhalt öffnen: Done

Berichte.

endlich hat es geklappt :)

Ok. Sieht gut aus.

Konntest du Combofix jetzt deinstallieren?

nein Combofix lässt sich nicht deinstallieren habe aufs leerzeichen geachtet geht aber trotzdem nicht . ich bekomme wenn ich den pc neu starte oder anschalte immer von service.exe eine fehlermeldung und eine zweite fehlermeldung das mir ein skript felt :/.

EDIT: Poste mir bitte die genauen Fehlermeldungen!

Auch mit dem geposteten Tool nicht? :headbang:

Ok, letzter Versuch:

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

Benenne nun die ComboFix.exe in Uninstall.exe um.

Führe die Uninstall.exe per Doppelklick aus.

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Berichte ob es jetzt geht.
Wenn nicht, lösche die Combofix.exe und den Ordner per Hand (falls nicht schon geschehen).

Dann, mache Folgendes:

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :dir
C:\Users\Johan\Low_00FEC012
C:\Program Files (x86)\PCSafeDoctor
C:\Users\Johan\AppData\Roaming\Service
C:\ProgramData\Local Settings
C:\Users\Johan\AppData\Roaming\App

:filefind
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*

:folderfind
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*

:regfind
*PCSafeDoctor*
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 4

Kannst du mir was zu folgenden Dateien und Ordnern bzw. Programmen sagen?
Schritt 5

Downloade dir bitte Rogue Killer von hier.

• Speichere das Tool auf deinem Desktop !
• Schließe alle laufenden Programme.
• Starte die RogueKiller.exe
• Warte bis Prescan abgeschlossen erscheint und klicke dann auf Scannen.
• Wenn der Scan beendet wurde, klicke auf Bericht und poste diesen hier.
• Du findest die Logdatei RKreport[1].txt auch auf deinem Desktop.

http://i121.photobucket.com/albums/o...iller/TRK2.png

Schritt 6

Starte bitte die OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort

• Antwort auf meine Fragen
• OTL-Fixlog
• Systemlook.txt
• RogueKiller-Log
• OTL.txt & Extras.txt

Poste mir bitte die genauen Wortlaute der Fehlermeldungen.

okay combofix hat sich nicht deinstalliert sonder es hat funktioniert .ich habe combofix unnbenannt dann ging es plötzlich lade die .txt datei hoch soll ich die anderen schritte trotzdem machen ?Die fehlermerldung laute von service.exe :"Service.exe konnte nicht gefunden werden . stellen sie sicher , dass sie den namen richtig eingegeben haben und wiederholen sie den vorgang."So welche meldungen habe ich auch mit ipemgui.exe (weis nicht genau aber ürgendwie so hies der)bekommen sie wie auch mit MOM.exe jetzt kommt aber nur noch service.exe. 2. skript fehlermeldung :
Skript:
C:\User\Johan\AppData\Roaming\Microsoft\Start
Menu\Programs\Startup\MS Services.vbs
Zeile: 2
Zeichen: 1
Fehler: Das System kann die angegebene Datei nicht finden.
Code: 80070002
Quelle: (null)

so ja das wars ka was da los ist :D

Mach mal bitte so weiter:

Schritt 1

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :dir
C:\Users\Johan\Low_00FEC012
C:\Program Files (x86)\PCSafeDoctor
C:\Users\Johan\AppData\Roaming\Service
C:\ProgramData\Local Settings
c:\programdata\Chrome Browser0

:filefind
*services.exe
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*

:folderfind
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*

:regfind
*PCSafeDoctor*
*PCSafeDoctor*
*conduit*
*Babylon*
*Pricegong*
*ilivid*
*Ask*
*smartbar*
       
:contents
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MS Service.vbs
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MS Service^^^^^^.vbs

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2

Kannst du mir etwas über folgendes Dateien bzw. Ordner sagen?

ich muss es in 2 teile teilen . und was hat sich mit den fehlermeldungen auf sich :wtf: :D und ja die ersten zwei bilder sind vom desktop und eins von der cam und die anderen daten sind nicht mehr vorhanden

Ok, bitte nochmal Systemlook wie folgt ausführen:

• Starte bitte die SystemLook_x64.exe.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :contents
C:\Users\Johan\AppData\Roaming\Service\Service.bat
C:\Users\Johan\AppData\Roaming\App\Service.bat
C:\Qoobox\Quarantine\c:\users\Johan\AppData\Roaming\app\Service.bat.vir

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

das ging aber sehr schnell ^^ 5 sekunden :D

Ok. Wir holen jetzt zum großen Schlag aus...

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  http://www.trojaner-board.de/133009-uergendwelche-viren-haben-mich-befallen-3.html#post1039543

Collect::
c:\windows\system32\drivers\44877181.sys
c:\users\Johan\AppData\Local\Temp\6nnW6pEMoCN2.exe
c:\users\Johan\AppData\Roaming\gLcMrJEN6txI.exe
c:\users\Johan\AppData\Roaming\S2Gg8QLEG2y8.exe

Folder::
c:\users\Johan\AppData\Roaming\Mining
c:\users\Johan\AppData\Roaming\Service
C:\Users\Johan\Low_00FEC012
c:\programdata\Chrome Browser0
C:\Program Files (x86)\PCSafeDoctor
C:\ProgramData\Local Settings
C:\Windows\System32\config\systemprofile\AppData\LocalLow\ConduitEngine
C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Conduit
C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\ConduitEngine
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Conduit
C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\softonic-de3
C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\PriceGong

File::
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6nnW6pEMoCN2.lnk
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gLcMrJEN6txI.lnk
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\S2Gg8QLEG2y8.lnk
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MS Service.vbs
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MS Service^^^^^^.vbs

Driver::
95602495
X6va003
X6va005
X6va006
X6va008
X6va009
X6va0010
X6va0011
X6va0012

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

ja ich musste was hochladen und das hochladen ist fertig . Ich habe mich ziemlich erschrocken wo die message Box kam :D

Kannst du in der Zwischenzeit bitte Folgendes machen:

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Choose File
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  c:\users\Johan\AppData\Roaming\Microsoft\Windows\Templates\bootres.exe

  ---

• und klicke auf Öffnen.
• Klicke auf Scan It!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  This file was already analysed by VirusTotal...

  klicke auf Reanalyse.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

https://www.virustotal.com/de/file/322c27b6a295407ea807eb2f47f144685d8564df560337c1153d4758b398ee31/analysis/1364993884/
das ist der link da ist ein trojaner

Wenn den nur einer erkennt könnte es auch nen Fehlalarm sein. Wir entfernen den trotzdem mal, hat eigentlich im Autostart nichts zu suchen.

Schritt 1

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  File::
c:\users\Johan\AppData\Roaming\Microsoft\Windows\Templates\bootres.exe
c:\progra~3\LOCALS~1\Temp\msqvtlrx.com

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Boot Resource Library"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"54940"=-

Driver::
X6va010
X6va011
X6va012

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Bitte starte danach einmal neu und berichte, ob die Fehlermeldungen noch kommen.

Mache dann Folgendes:

Starte bitte die OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort

• Combofix.txt
• OTL.txt & Extras.txt

Wie läuft der Rechner?

Der Rechner läuft jettz wieder super keine fehlermeldungen mehr :) ich poste jetzt combofix und otl mach ich gleich an

OLT
Extras