Think Point unter Vista loswerden?
 

Hallo und guten Abend!
Dieses Forum hat mir schon oft durch einfaches lesen geholfen, diesmal stehe ich aber vor einem größeren Problem.
Das Thema gibt es zwar auch schon, aber irgendwie funktioniert das bei mir alles nicht so.

Also wie die Überschrift sagt, hat sich Think Point auf dem betroffenen Laptop installiert (Freundin hat auf full scan geklickt und es durchlaufen lassen).

Jetzt geht absolut garnichts mehr.
Ich habe versucht, über den Taskmanager das Programm zu schließen (was zwar noch ging) und anschließend den explorer zu erstellen.
Jedoch ist egal, welchen Task ich erstellen will, es kommt immer die Meldung, dass ich nicht die Berechtigung habe.

Dann wollte ich wie beschrieben mit OTL das System scannen lassen, habe es mir an einem anderen PC runter geladen, auf einen USB Stick gemacht und gehofft, dass es sich vielleicht irgendwie starten lässt.
Fehlanzeige, und Fehleranzeige. Die selbe wie sonst, keine Berechtigung.
Soweit ich das erkennen kann, gibt es aber nur einen Benutzer auf diesen Laptop, weshalb dieser ja eigentlich auch der Administrator sein müsste.

Abgesicherter Modus etc. hat auch alles nichts gebracht.

Kann man mir noch helfen?
Wäre sehr sehr nett.
schöne Grüße, stffn.

hau der freundin erst mal auf die finger, bei nem unbekannten programm rumzuklicken tztz
weis sie noch wo sie sich das eingefangen hatt? wenn ja sendets mir als private nachicht.
habt ihr rolinge + brenner daheim?

hehe

ne das weiß sie nicht mehr. war wohl aufeinmal da.
Rohlinge und brenner vorhanden.

download:
http://filepony.de/download-otlpe/
und brenne es mit ISOBurner auf eine CD.
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Danke schonmal für die Hilfe, ich hab nur leider gerade festgestellt dass ich nur noch kostbare 4,7 gb verbatim rohlinge habe. Diese möchte ich ungern verwenden, deshalb kann ich es erst morgen machen. meld mich dann nochmal.
Schönen Abend noch!

ja stimmt keine verschwendung :-)

Abend!

So, ich habe da jetzt mal weiter gemacht, mir das Programm gebrannt und von der CD gebootet (was ewig gedauert hat, aber egal).
Auf dem Desktop habe ich OTLPE geöffnet, worauf hin ich ein verzeichnis auswählen musste. wenn ich einfach C:\OS ausgewählt habe, kam die meldung, dass das System nicht älter als win 2000 ist und und nichts is passiert. Als ich das Windows Verzeichnis ausgewählt habe, hat es funktioniert.
Also den scan gemacht, worauf hin folgende meldung kam (nach dem abschluss):

"The procedure entry point _ftol2_sse could not be located in the dynamic link library msvcrt.dll.".

Angezeigt wurde mir das Textdokument trotzdem.

Jetzt habe ich noch ein Problem, undzwar wird mir der welchesdatenträger nicht angezeigt. In den Hadwaredevices sehe ich den Kingston USB stick, aber kann nicht drauf zugreifen (ist mit einem Fragezeichen und als "Unknown Device" gekennzeichnet.

Was macht man denn da jetzt:s

USB-Stick-Problem gelöst, wie heißen die beiden Dateien??
Einmal müsste das OTL.txt sein, und die andere?

Achso, den _OTL Ordner gibt es bei mir nicht unter C:\, die OTL.Txt Datei liegt einfach so "lose" in C:\.
Ich lade die jetzt einfach mal hoch.

otl und extras.txt :-)

Hat das mit dem hochladen nicht geklappt?

Also die extras.txt finde ich nicht.

nein, is aber erst mal zweitrangig.
warum hat das vista noch nie updates gesehen? keine servicepacks?
da hat sich der besitzer aber nen schlag auf die finger verdient :d

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

:OTL
O4 - HKU\Vivian_ON_C..\Run: [svchost] C:\Users\Vivian\AppData\Roaming\Microsoft\svchost.exe ()
O4 - HKU\Vivian_ON_C..\Run: [Windows Boot Control] C:\Users\Public\S-2535-6853-2745\winrsvn.exe File not found
O4 - HKU\Vivian_ON_C..\Run: [WindowsBootController] C:\Users\Public\L-77685-67895-5687\winsvnc32.exe File not found
O4 - HKU\Vivian_ON_C..\Run: [WindowsDriverControl] C:\Users\Public\C-76947-8457-2745\winmsngrn.exe File not found
F3 - HKU\Vivian_ON_C WinNT: Load - (C:\Users\Vivian\AppData\Local\Temp\dwm.exe) - C:\Users\Vivian\AppData\Local\Temp\dwm.exe ()
O20 - HKU\Vivian_ON_C Winlogon: Shell - (C:\Users\Vivian\AppData\Roaming\hotfix.exe) - C:\Users\Vivian\AppData\Roaming\hotfix.exe ()
[2010/11/05 12:25:40 | 000,000,185 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\dkfjasdfshd.bat
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt auf deinem stick.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Also, ich habe das alles nach Anleitung gemacht, nicht ganz ohne Probleme.
erstmal konnte ich kein Verzeichnis auswählen, immer wenn ich nach dem richtigen suchen wollte um die fix-Datei zu öffnen, kam eine Fehlermeldung und OTL hat sich geschlossen. dann habe ich die fix Datei einfach in den Ordner gelegt, der von anfang an angezeit wurde und es ging, ist durchgelaufen, hat aber nicht neugestartet.
Der pc hat auch nicht neugetartet, nachdem ich ihm es über den start-button befohlen habe. Also habe ich ihn manuell ausgemacht und wieder angemacht.
Windows ist normal gestartet, hat mir aber nicht OTL.txt angezeigt.
Den Ordner gibt es jetzt aber, und bei MovedFiles war die text-datei mit dem Datum im Namen.
Die OTL, die in C:\ lag, lade ich auch wieder mit hoch.

Danke, danke, danke!!!

kannst du mal "mein computer" öffnen, dann c: dann _OTL und rechtsklick auf moved files machen.
zu moved files.rar oder zip hinzufügen und das archiv in unseren upload channel hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

wir sind aber noch net fertig :-)

Ok, ist gemacht.
Das kommt doch hoffentlich so an, weil ich hab kein Link oder sowas bekommen?

ja, der download soll ja nicht für jeden zugänglich sein.
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Ok, das wird glaube ich noch ein bisschen dauern.

Ich poste den log dann morgen vor der arbeit!
Danke nochmal für die tolle hilfe.

So, hier ist der log.

Ich habe gerade mal ein paar Dienste für den Autostart deaktiviert, u.a. war da RoxDB9 dabei, wovon ich schonmal in verbindung mit einem Trojaner gehört habe.

Naja, wir sind ja noch nicht fertig wie du schon sagtest :=)
Schöne Grüße, stffn.-

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo!
Nächstes Problem:((
Immer wenn ich Combofix starten will, kommt, nachdem der grüne Balken durchgelaufen ist, die meldung, dass auf C:\32788R22FWJFW\iexplore.exe nicht zugegriffen werden kann, weil ich nicht über ausreichende Berechtigungen verfüge.

Hab es auch versucht mit rechtsklick, als Administrator ausführen.

Die Meldung kommt, wenn ich OK klicke, noch ca. 10-20 mal.

Dann kommt noch ein Fenster mit:

"Die folgende Datei kann nicht geöffnet werden: nircmd.cfxxe

Das Programm, mit dem Sie diese Datei öffnen möchten, muss bekannt sein, damit sie geöffnet werden kann. Die Suche kann automatisch online erflolgen,......."

Ist irgendeine einstellung falsch? Oder was könnte das Problem sein?
Langsam kriege ich schlechte Laune mit dem Ding :headbang:

Aber danke für die Geduld!

wie siehts im abgesicherten modus aus, läufts da?.
am besten den ohne netzwerk

funktioniert leider auch nicht.
Ich konnte auch nicht, obwohl das internet funktioniert (malwarebytes konnte ja auch geupdated werden), mit einem browser surfen. Also ich habe mir Combofix auf dem 2. Rechner runter geladen und mit dem USB Stick rüber gebracht. Hat aber bestimmt nichts damit zu tun.
achso, nachdem die Meldung mit iexplore ein paar mal kommt, kommt das gleiche nochmal mit n.pif und hidec.exe.

a sorry, das mit dem browser erledigen wir.
öffne den internetexplorer, extras, optionen, internetverbindung, lanverbindung, lösche den eintrag unter proxy server, und nimm den haken bei proxy server verwenden raus.
übernehmen/ok. gehts inet nun wieder?

Ja, super.
Nur bei Firefox habe ich die Lan-Einstellungen nicht gefunden.
Aber das ist jetzt erstmal nebensächlich.
Combofix würde ich echt gern zum laufen bringen.
Habe es auch schon so versucht:
http://www.trojaner-board.de/62432-c...t-starten.html
Weiß nicht mehr was ich noch machen kann.
Ist diese Anleitung vielleicht eine Hilfe?:
hxxp://www.bleepingcomputer.com/forums/topic252688.html
Sollte ich das mal probieren?

versuch erst mal gmer.
http://www.trojaner-board.de/74908-a...t-scanner.html
eigendlich sollte der firefox ebenfalls laufen. schon probiert?

Ok ich habs zumindest jetzt auch bei firefox hinbekommen.

ok dann gmer bitte.

Also, im abgesicherten Modus hat er es gemacht. ist gerade am scannen, ich poste den log sobald er fertig ist.

EDIT:

Das dauert hier bestimmt noch ein bsschen, ich erledige in der Zeit noch ein paar Dinge und melde mich dann im laufe des Abends nochmal.

Schöne Grüße

Ein bisschen verspätet sry.
HIer ist der Log

1. servicepack 1 instalieren
2. servicepack 2 instalieren
3. sonstige wichtigen windows updates.
4. sag bescheid, wenn das erledigt ist

wird gemacht!

Also, ich habe mir das SP1 runtergeladen, wollte es installieren, und es kam erstmal wieeder die maldungm dass nicht darauf zugegriffen werden kann, weil ich nicht über ausreichend berechtigung verfüge. Dann wollte ich im abgesichterten Modus starten und beim herunterfahren hat windows irgendwas geupdated. im abgesicherten Modus ging es auch nicht.
Aber ich den System-infos steht ja schon, dass ich SP2 habe?

a sorry stimmt.
wo genau hast du das sp denn hin geladen? kannst du denn sonst dowloads /programme öffnen?

Ich habe es erst in das DL-Verzeichnis geladen und dann auf den Desktop gezogen.
Das mit dem starten voon Programmen ist sone Sache. teilweise funktioniert es problemlos, wie bei malwarebytes und gmer (im abgesicherten Modus), und bei anderen dann wieder nicht. Wie z.B. bei combofix und dem SP.
Also mit Programmen sind eigentlich nicht Programme, sondern in erster Linie die Installationsfiles gemeint. Programme, die schon vorher drauf waren, laufen.

Was ansonsten noch den selben Fehler zeigt, sind beispielsweise das windows-servicecenter und wenn ich über rechtsklick->anpassen->anzeige die Auflösung umstellen möchte.
In der Leiste oben von der Fehlermeldung steht dann meistens C:\Windows\system32\rundll32.exe oder, wie beim SP, C:\e62b5bbaef9a6b6ec1135b99afa191\spinstall.exe, o.ä.
Die meldung an sich ist aber immer die selbe.
aber auch schon versucht, die benutzerkontensteuerung aus-/einzuschalten. Und mit "als Administrator starten", und im abgesicherten Modus, und alles zusammen.
Hat alles nicht geklappt.

PS: vielleicht sollte ich dazu sagen, dass ich zum Beispiel, anstatt das Windows servicecenter mit der schnellstartleiste zu starten, aus der Systemsteuerung erfolgreich war. Die Auflösung konnte ich auch ändern, aber nur über die NVidia-Systemsteuerung.

war das schon immer so oder erst seit der malware infektion

Also das erste was ich gemacht habe, nachdem ich ThinkPoint wegbekommen habe, war ja quasi Malwarebytes zu installieren und durchlaufen zu lassen, was ja auch funktioniert hat.
Das 2. war combofix, wo mir der Fehler das erste mal angezeigt wurde.
Die Besitzerin habe ich auhc gerade gefragt und soweit sie weiß, ist ihr das noch nie begegnet.

ok.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Ok es läuft durch. wenigstens das funktioniert :kaffee:

Hier sind die Logs.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
IE - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000..\Run: [WindowsBootController] C:\Users\Public\L-77685-67895-5687\winsvnc32.exe File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\AutoRun\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\explore\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\open\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{417dd488-b985-11dd-be5b-001d09ccbac5}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
O33 - MountPoints2\{417dd488-b985-11dd-be5b-001d09ccbac5}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
[2010.11.10 18:03:11 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.11.10 18:03:11 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.11.07 18:47:35 | 000,000,006 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\start
[2010.11.05 22:42:15 | 000,000,006 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\completescan
[2010.11.05 18:31:24 | 000,000,729 | ---- | M] () -- C:\Users\Vivian\Desktop\ThinkPoint.lnk
[2010.11.05 18:31:24 | 000,000,010 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\install

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

So, das müsste die hier sein. Lag im moved files ordner.

hattest du dich im abgesicherten modus als administrator angemeldet? versuchs bitte noch mal.

naja, bisher habe ich eben nur diesen einen benutzer gesehen, der auch als administrator verzeichnet war.
jetzt sehe ich 2 benutzer, einmal den nutzer (die nutzerin) und einmal administrator. also gut ich starte dann mal im abgesicherten modus.

dazu habe ich jetzt aber noch nochmal eine frage.
undzwar war ja der benutzer "administrator" bisher garnicht vorhanden.
Da es diesen jetzt aber gibt, und der besitzer keine ahnung von dem Passwort hat, geschweige denn etwas von dieser neuen möglichkeit weiß (das gab es wohl noch nie), kann ich mich nicht mit ihm anmelden.

versuchs mal ohne passwort eingabe.

negativ.
Ich versuche mal das PW zurückzusetzen.

ok das hat über ausführen->cmd-> "net user administrator *" geklappt. konnte dann ein neues PW bestimmen ohne das alter einzugeben.

Wenn ich SP1 installieren will, kommt jetzt nichtmehr die meldung :daumenhoc

Aber da steht, dass das SP bereits installiert ist.

Soll ich jetzt erstmal SP2 und 1 deinstallieren? Das trau ich mich jetzt nicht ohne deine Anweisung!

nene, combofix nutzen, ich hatte mich verlesen, das mit den sps passt.

ComboFix läuft. es kam nur die Meldung, dass meine Version oder meine Lizens abgelaufen ist. ich habe einfach mal gedrückt, dass es in abgespeckter form fortsetzen soll.

ok das is ja schon mal was. bin raus für heute.

Ok es kam ein Bluescrenn (nachdem er so 10 Minuten lief) und daraufhin folgte ein reboot.
Keine combofix.txt in C:
Soll ich es nochmal versuchen? oder mir vielleicht combofix mal neu runterladen?

Danke für die Hilfe nochmal, echt super.

So. mit neu installieren hats dann doch noch geklappt.
Hier die Log.

laufen auch wieder programme im normalen modus, bzw instalationen?

Guten!
Ja!
scheint wieder zu gehen- musste windows neu aktivieren, hat aber alles reibungslos funktioniert und bisher konnte ich noch kein fehler feststellen.

ok das sollte aber nicht so das problem gewesen sein :-)
kommen wir jetzt zu den letzten arbeiten, entrümpeln, kontroll scan mit avira, absichern.
lade den ccleaner slim:
Piriform - Builds
bitte öffnen, extras, liste der instalierten programme, als txt abspeichern.
öffne diese txt.
hinter, von dir benötigte programme, schreibe notwendig.
hinter, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
poste die liste.
damit finden wir unnötiges zeug, und programme die geupdatet werden müssen.

Hier.
Da ist echt viel Mist drauf, gerade die ganzen toolbars braucht doch kein mensch... oder!?
Also ich kann den besitzer gerade nicht erreichen, weshalb ich mir bei manchen sachen nicht ganz sicher bin. Aber alles, wo nicht mit großen verlusten zu rechnen ist (irgendwelche freewares etc), kann man ja erstmal runter hauen.
Vieles kannte ich aber auch nicht, z.b. die ganzen Dell sachen, da weiß ich nichts über die notwendigkeit.

eben, deswegen entrümpeln wir erst mal :d
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
bitte noch unnötige plugins verschieben:
Adobe Reader schneller starten
behalte aber:
EScript.api
Escript.deu
Search.api
Search.DEU
deinstaliere:
Ask Toolbar
Bonjour wird ungefragt von apple mit instaliert und wird von 99 % aller benutzer nicht benötigt. also kanns weg :-)
weiterhin deinstalieren:
Browser Address Error Redirector
Dell Handbuch
Dell Support Center
Digital Line Detect
Fahren Lernen
Free Audio CD Burner
Geheime Fälle
Go, Piggo, go
Google Desktop
Google Updater
bitte beide java versionen deinstalieren und neueste laden:
Download der kostenlosen Java-Software
Live! Cam Avatar beide weg.
Max und Mario
McAfee Security Scan sollte runter, verträgt sich in einigen fällen wohl nicht mit avira.
MediaDirect
DELL MediaDirect - servicemensch - Stefan Guenther
sollte runter falls nicht benötigt.
deinstalieren:
Microsoft Silverlight
Microsoft SQL Server 2005
Mobile Partner Manager
Modem-Diagnose-Tool
MyVideoConverter
OutlookAddinSetup
Pepsky Free Music Converter
QuickSet
Saqqarah
SAT1 GAME CENTER
softonic-de3 Toolbar
VeohTV
WEB.DE Update
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Favorites
Windows Live OneCare safety scanner
Windows Live Sync
Windows Live-Uploadtool
ZDFmediathek Version 1.4.0
Zylom Games Player
Zylom Games Player Plugin

wenn du damit fertig bist, mit dem ccleaner dateien + registry bereinigen:
http://www.trojaner-board.de/51464-a...-ccleaner.html
und zurück melden.
ps, nie wieder toolbars, sie können den nutzer ausspähen.

Ok, ich muss jetzt nochmal zu Uni und mache danach weiter. Melde mich dann heute abend wieder.

Habe es jetzt doch noch schnell fertig gemacht.
Ich habe Bonjour trotzdem mal da gelassen, hatte es bei mir einmal deinstalliert und dann ging nichts mehr bei itunes und co.
Jetzt muss ich aber. Bin in 2 Stunden zurück:)

ok.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Ok hab gescannt und lade jetzt mal den log hoch.
Ich habe jetzt noch die Meldung bekommen, dass eine datei namens dwm.exe im moved files ordner von otl ist, und habe die möglichkeit diese exe zu entfernen.
der virus soll TR/Katusha.3.119 heißen.
Ist das was reguläres von OTL?

dass hatten wir gelöscht mit otl. kannst also mit avira entfernen.
sind noch probleme aufgetreten? sonst würden wir jetzt zum pc absichern kommen.

Sind keine weiteren Probleme aufgetreten

- besuche die windows update seite, prüfe ob automatische updates aktiev sind und automatisch geladen werden, unter einstellungen.
update auch gleich mal.
- bereinige mit dem ccleaner dateien + registry.
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
- deaktiviere die systemwiederherstellung:
Systemwiederherstellung deaktivieren unter Vista - Windows 7 Tipps, Optimieren, Tricks
warte 5 minuten, schalte sie wieder ein.
- autostart aufräumen.
start ausführen. msconfig
enter
systemstart, überall den haken raus außer bei:
avgnt
ok klicken, pc wird neu starten, nachfrage anhaken das meldung nicht mehr angezeigt werden soll.
falls wieder was zurück soll in den autostart, einfach haken setzen.


dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.


SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

ich würde vom firefox auf den opera sichern, er ist wesendlich sicherer und schneller.
ich passe daher meine anleitung auf den opera an, falls er euch nicht zusagt, endere ichs für den ff.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen

mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen

lesezeichen importieren:
Lesezeichen ? OperaWiki

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt, diese instalieren.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung erneuert werden soll.

bitte alle passwörter endern.
nur noch in der sandbox surfen, mit klick auf "sandboxed web browser"

Ok, das wird dann ja noch ein bisschen dauern.
Hab da aber noch zwei kleine fragen.
1. beim booten macht der jetzt irgendwie so ein check, wo steht, dass meine indexeinträge verarbeitet werden undirgendwelche kaputten daten gelöscht werden. genauer ist es eigentlich vor dem booten. das kann ich aber vorher abbrechen. hab cih noch nie gesehen.

2. avgnt ist bei mir garnicht in der systemstart liste aufgeführt.
hoffe jetzt geht nichts kaput, habe nämlich garkein haken mehr gelassen:)

ist avira denn aktiev? wird dieser check jetzt immer gemacht? auch wenn du ihn einmal durchlaufen lässt?

Nein, der check wird jetzt nicht mehr gemacht.
Avira habe ich gerade wieder im systemstart angehakt, weil es nicht mehr aktiv war (also das kleine symbol wurde nicht mehr angezeigt).

ok.
dann noch den rest umsetzen, falls noch nicht gemacht und bescheid sagen ob alles geklappt hatt, bzw wenns probs gibt.

Alles geklappt, alles super, vielen vielen dank!! Das hätt ich niemals hinbekommen ohne die super hilfe.
Ich wünsche ein schönes Wochenende, und bis zum nächsten mal:)

ja, viel spaß und hoffendlich nicht so bald wieder, mit nem malware problem :-)