Trojaner-Board - Antimalware Doctor lässt sich nicht entfernen (Anleitung vom Board benutzt)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antimalware Doctor lässt sich nicht entfernen (Anleitung vom Board benutzt) (https://www.trojaner-board.de/86846-antimalware-doctor-laesst-entfernen-anleitung-board-benutzt.html)

Antimalware Doctor lässt sich nicht entfernen (Anleitung vom Board benutzt)

Ich habe mir den Antimalwaredoctor eingefangen und nach der hier auf dem Board empfohlenen Methode versucht ihn zu löschen. Es funktioniert jedoch nicht.

Ich habe rkill laufen lassen:This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as xxx on 07.06.2010 at 21:38:08.

Processes terminated by Rkill or while it was running:

C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe
C:\Users\xxx\AppData\Local\Temp\Azd.exe

Rkill completed on 07.06.2010 at 21:38:11.

dann malwarebytes (Antimalware hab ich Quick und komplett laufen lassen hänge auch beide Logs an) und anschließend ccleaner, jedoch popt sich der doctor beim neustart von windows wieder auf. Des weiteren fragt windows jedesmal beim Start von firefox, ob das Programm änderungen

an meinem PC durchführen darf. Hängt das mit dem Doctor zusammen?

Ich hänge mal alle relevanten logs an.
(OTL hat jeweils 2 TXT-Logs produziert ich häng beide an.)

Please help.

versuch rkill direkt mehrmals schnell hintereinander zu öffnen, eig müssten sich dann mehr prozesse verabschieden als nur deine 2
ansonsten wenn du den taskmanager öffnen kannst dann beende mal bitte Ixm.exe
ka ahnung ob es mehrere versionen von rkill gibt..
falls antimalewaredoctor nach rkill immer noch aktiv ist oder wird kannst du auch während des scans rkill ausführen (musst du sogar)
deine datenbank version scheint ok zu sein.
und sonst wüsste ich auch erstmal nicht weiter

@nanoflo: Du hast doch selbst Probleme mit dem Antimalware Doctor, warum versuchst Du dnen anderen zu helfen, wenn Du Deine Kiste selbst nichtmal im Griff hast? :balla:

kann mir jetzt jemand helfen? Ich komme echt nicht weiter. Meinen REchner neu auf zu setzten wäre (fast) ne katastrophe...

Ich glaub jetzt hab ichs geschafft. Kann sich jemand mal die Logs von OTL ansehen? und mir ein kurzes feedback geben. Traue mich nicht mich irgendwo einzuloggen solang ich nicht sicher bin ob mein system wieder sauber ist.

mbam

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du den unkenntlich gemachten Benutzernamen wieder in den richtigen verwandeln, sonst funktioniert das Script nicht!! (xxx zurückeditieren!)

Code:

:OTL

O4 - HKCU..\Run: [setupupdater0000.exe] C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe (MS)

:Files

C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

so im anhang der logfile. Die Datei setupupdater000.exe konnte es nicht mehr finden, da ich diese im abgesicherten Windowsmodus schon selbst gelöscht hatte und den Pappierkorb dann mit CCleaner gelehrt hatte.

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\setupupdater0000.exe not found.

File C:\Users\Mika\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe not found.

========== FILES ==========

C:\Users\Mika\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4 folder moved successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: Administrator

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Mika

->Temp folder emptied: 323128 bytes

->Temporary Internet Files folder emptied: 18794496 bytes

->Java cache emptied: 15610189 bytes

->FireFox cache emptied: 53761336 bytes

->Flash cache emptied: 4456 bytes

 

User: postgres

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 68180 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

RecycleBin emptied: 1024 bytes

 

Total Files Cleaned = 85,00 mb

 

 

OTL by OldTimer - Version 3.2.5.3 log created on 06092010_063009
 

Files\Folders moved on Reboot...

C:\Users\Mika\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 

Registry entries deleted on Reboot...

Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mächtigere Tools können wir nicht einsetzen, da sie inkompatibel mit einem 64-Bit-Windows sind.

so hier der log von SuperantiSpyware:

PHP-Code:

   SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com

 
Generated 06/09/2010 at 09:21 PM

 
Application Version : 4.38.1004

 
Core Rules Database Version : 5052

Trace Rules Database Version: 2864

 
Scan type       : Complete Scan

Total Scan Time : 02:17:31

 
Memory items scanned      : 561

Memory threats detected   : 0

Registry items scanned    : 10675

Registry threats detected : 2

File items scanned        : 255362

File threats detected     : 0

 
Adware.PTech

    (x86) HKU\S-1-5-21-2205588998-460126761-1264454870-1001\Software\PTech

 
Malware.Trace

    (x86) HKU\S-1-5-21-2205588998-460126761-1264454870-1001\Software\V71IQL7HI7

Soll ich beide Dateien entfernen lassen?

Scan mit Malewarebytes mache ich jetzt das dauert ca. 8h! Log kann ich erst morgen abend posten. (Arbeit, Arbeit, Arbeit)

Danke schon mal für die Hilfe

Ok, dann mach nur einen Quickscan mit malwarebytes denn idR reicht der auch aus.

ging doch fixer:

HTML-Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4184
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

09.06.2010 22:15:27

mbam-log-2010-06-09 (22-15-27).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 381169

Laufzeit: 38 Minute(n), 57 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Ok. Die Funde von SASW kannste löschen.
Noch Probleme? ;)

sieht alles gut aus danke für die hilfe

Gut. Dann bitte mal die Updates prüfen, hier mein Standardtext dazu als Leitfaden:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.