Antimalware Doctor - Ist mein Laptop wieder vollständig sauber?
 

Hallo liebes Trojaner-Board-Team,

auch ich hab gestern leider "Antimalware Doctor" auf meinen Laptop bekommen, hab dann eure "Antimalware Doctor entfernen"-Beschreibung befolgt.
Momentan wirkt alles wieder normal, der Antimalware Doctor ist auch nicht mehr in den Programmen vorhanden. Aber nachdem er ja noch irgendwo sein könnte, wo ich ihn nicht sehe, Könnt ihr mir sagen, ob mein Laptop wieder völlig sauber ist?

Hier der Malwarebytes-Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4478

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.08.2010 07:30:10
mbam-log-2010-08-26 (07-30-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 207449
Laufzeit: 1 Stunde(n), 35 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoswaxnmcr.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Caroline\Anwendungsdaten\AEB14F5B7A9DEC8F7B8BAEF875196A4C\newsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temp\eoswaxnmcr.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temp\st_la819_1930.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temp\tpcuqc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temp\wtpvaae.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temp\mkcxhunr.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6JN0YWLJ\cgbvd[1].htm (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6JN0YWLJ\izqlfr[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6JN0YWLJ\izqlfr[3].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6JN0YWLJ\mqupjickr[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YQQB8D1G\cgbvd[2].htm (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Caroline\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YQQB8D1G\newsecureapp70700[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.


Nachdem ich die Dateien mit Malwarebytes entfernt habe, tauchen sie im System nicht mehr auf. Antivir bringt aber trotzdem noch Fehlermeldungen und Funde.
Wie gehe ich weiter vor? Soll ich die in Quarantäne befindlichen Dateien löschen?

Schon mal vielen Dank für jegliche Hilfe!!

Hallo intagie!

hast Du (auch) diesen Thread eröffnet?:-> http://www.trojaner-board.de/89998-a...en-sauber.html

Hallo Coverflow,

danke für den Hinweis zum anderen Thread. Hier mein hjtscanlist-log:



Soll ich den CCleaner auch noch durchführen?

Intagie

Hallo nochmal,


ich bin leider auch nicht sehr bewandert in PC-Geschichten, deswegen hatte ich mich beim ersten Post an micewitch-Nachricht orientiert, da er wohl ein sehr ähnliches Problem hat wie ich. Entschuldigt, sollten da Missverständnisse draus resultiert haben.

Jedenfalls: nachdem ich Malwarebytes durchgeführt hatte, habe ich nochmal Avira durchlaufen lassen und er hat mir folgendes Ergebnis gegeben:

Kann jemand damit etwas anfangen?

Danke!

Ok dann fangen wir an:)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
1.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:
2.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

3.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

hallo coverflow,

also:

1. 2. RSIT Logfile:
--- --- ---


und:

3. erledigt

4.


ich hoffe, ich habe alles richtig gemacht bis dahin ...

lg intagie

hi

Systemreinigung und Prüfung:

1.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

** Hast du sonst noch Probleme?

hallo,

1., 2., und 3. erledigt

4.

5. hab ich noch nicht erledigen können, werde ich heute abend hoffentlich noch schaffen.

danke!

kommt noch was von Dir?

hej coverflow,

sorry, viel stress grade.

hab das mit dem usb-sticks überprüfen noch nicht hinbekommen, da ich schon am autorun-abschalten scheitere.

bin mir aber ziemlich sicher, dass der trojaner nicht von dort kam.

muss ich noch mehr tun? oder ist die gefahr gebannt..?

vielen dank.

Scan mit Kaspersky trotzdem bitte machen:)
Punkt 5.:-> http://www.trojaner-board.de/90002-a...tml#post560331

wenn ich auf den link zum kaspersky-scanner klicke, kommt eine fehlermeldung: "computer does not meet the requirements for kaspersky 7.0. launch" od. so ähnlich. soll ich trotzdem weiter machen?

thx

auf den Link?:-> http://www.kaspersky.com/kos/eng/par...=1256151358495

falls nicht geht:

>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum
Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Hallo,

wenn ich die Shift-Taste gedrückt habe, startet trotzdem die Autorun-Funktion.

Wenn ich nach der Anleitung von Avira Supportforum gehe, zu der du mir den Link gegeben hast, kommt dann dort folgender Satz:

"Auf der rechten Seite sehen Sie den Eintrag "NoDriveTypeAutoRun""

Diesen Eintrag sehe ich aber nicht. Bei mir stehen an der Stelle nur die beiden folgenden Einträge:

(Standard) REG_SZ (Wert nicht gesetzt)
HonorAutoRunSetting REG_DWORD 0x00000001 (1)


??? Kannst du mir da weiterhelfen?

Um die Autoplay-Funktion des CD-Laufwerkes zu aktivieren oder deaktivieren, gibt es verschiedene Möglichkeiten.

1.
Die erste davon ist über Start/Ausführen und dort "regedit" eingeben. In der Registry sucht man nun nach dem Schlüssel "HKEY Local Machine/System/ControlSet001/Services/CD ROM". Hat man diesen gefunden, so findet sich auf der rechten Seite der Eintrag "Autorun". Diesen klickt man nun an, und gibt dort den Wert auf Null. Mit diesem Wert wird die Autoplay-Funktion deaktiviert. Soll die Funktion wieder aktiviert werden, so stellt man den Wert auf "1" ein.

2.
Die zweite Möglichkeit geht auch über die Gruppenrichtlinien.
Diese werden über Start-> Ausführen und dort mittels der Eingabe von "gpedit.msc (ohne "") aufgerufen. Danach erscheint das Fenster für die Gruppenrichtlinien. Hier geht man in die Benutzerkonfiguration/Administrative Vorlagen. In diesem sucht man nach System und klickt dieses an. Auf der rechten Seite findet man sodann die Option "Autoplay deaktiveren". Nach dem Anklicken dieser Option kann nun diese Option deaktiviert werden.

- vlt eine verständliche Beschreibung:
-> Autorun-Funktion - was ist das?
-> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de