Ja,aber ich habe echt keine ahnung wo die sich befinden könnte!

Hallo,
ich weiß es schon, aber das der Pfad angeblich nicht angezeigt wird finde ich schon seltsam.
Mach mal noch einen Scan mit F-Secure Blacklight und poste das Log (wird automatisch im selben Pfad erstellt, fsbl**.txt).


Grüße Wildone

Hab jetzt noch einmal nach lsass.exe gesucht,und die Datei findet sich angeblich unter folgendem Pfad wieder: C:\WINDOWS\$NtServicePackUninstall$
Allerdings ist dieser versteckt.
Gruß,David

Hallo,
auch dort ist sie in Ordnung, weil Systemdatei.
Nimm mal noch folgende Einstellungen vor und schau/suche nochmal.


Grüße Wildone

HAB IHN!!!Die Datei war versteckt.
C:\Programme\Common Files\Mіcrosoft.NET
Okay,und jetzt?

Hallo,
überprüfe sie bei virustotal oder bei Kaspersky und poste das Ergebnis.


Grüße Wildone

lsass.exe bei Virustotal:

Datei: lsass.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Trojan/Dldr.PurityScan.BJ gefunden
ArcaVir Trojan.Agent.Hp.M31 gefunden
Avast Win32:PurityScan-N gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.ClickSpring gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.PurityScan.bj gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Backdoor.Rbot.2 (paranoid heuristics) gefunden (mögliche Variante)


Scanner Name der Malware
AntiVir Worm/IRCB.47104.2.A
ArcaVir X
Avast Win32:Horst-C
AVG Antivirus X
BitDefender Trojan.Spambot.AZ
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 a variant of Win32/Spabot.NAA
Norman Virus Control X
UNA X
VirusBuster X
VBA32 X

Hallo,
lösche den ganzen Ordner C:\Programme\Common Files\Mіcrosoft.NET mit killbox (deltree) on reboot.
Falls du den Onlinescan bei Panda noch nicht angefangen hast, wäre es besser du machst ihn hier und postest dann das Ergebnis.


Grüße Wildone

Mmmmh,wenn ich auf reboot gehe kommt da folgende Fehlermeldung:
"PendingFileRenameOperations Registry Data has been Removed by External Process!"
Gruß!

Hallo,
versuche es mal ganz normal den Ordner zu löschen, funktioniert das?


Grüße Wildone

Joar,hat gefunzt!;)

Hallo,
dann noch den Scan mit dem Kaspersky Online Scanner und wenn nichts mehr schwerwiegendes gefunden wird sollte es das dann gewesen sein. Später bekommst du dann noch ein paar Links damit soetwas zukünftig nicht mehr passiert. Ein Anfang wäre übrigens mal die Spywareschleuder Bearshare zu deinstallieren. Wenn Filesharing schon unbedingt sein muss dann nimm wenigstens ein Spywarefreies Programm dafür.


Grüße Wildone

Alles klar,dann danke ich dir schonmal für alles,ich glaube ohne dich hätte ich das alles nicht hinbekommen!:party:
Den Tipp mit Bearshare nehm ich mir zu Herzen,hab aber Bearsharepro,aber egal,ich werds machen!
Gruß,David

Hi Leuts,

hätte mal ne Frage. Meine Mutter hat bei sich auf dem rechner auch den hier erwähnten Virus. Nur leider kann ich Ihr die hier erwähnten Tips nicht geben weil Sie erst gar nicht ins Netzt kommt um sich die Tools zu ziehen. Gibt es noch ne Möglichkeit den loszuwerden ?

Grüße Brooklin

PS: Hat sich erledigt. Hab einfach einen neuen Systemwiederherstellungspunkt festgelegt und weg war er. Thx