Trojaner-Board - Zunächst Vista Antispyware auf dem Rechner, dann nach Neustart keine Programme mehr zu öffnen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Zunächst Vista Antispyware auf dem Rechner, dann nach Neustart keine Programme mehr zu öffnen (https://www.trojaner-board.de/96147-zunaechst-vista-antispyware-rechner-dann-neustart-keine-programme-mehr-oeffnen.html)

Zunächst Vista Antispyware auf dem Rechner, dann nach Neustart keine Programme mehr zu öffnen

Beim Schauen eines Bundesliga-Livestreams hat sich der Rechner mit Vista Antispyware infiziert. Bin nicht auf die Fakemeldungen eingegangen, habe nichts kostenpflichtiges heruntergeladen und den Rechner erstmal heruntergefahren.

Soweit, so gut. Nach dem Neustart kam nichts mehr von dem Vista Antispyware. Einige Dateien, wie
UserProfile%\Local Settings\Application Data\av.exe
waren gar nicht auf dem Rechner!
Quelle zur Bereinigung: http://www.trojaner-board.de/82801-x...entfernen.html

Allerdings konnte ich keine Programme mehr öffnen, weil der Rechner ein Programm zum Öffnen von den Desktopverknüpfungen sucht. Man soll bestätigen, dass man das Programm mit der .exe Datei öffnen will. Dann versucht der Rechner, die .exe-Datei aus den Program Files herunterzuladen. Bin nicht darauf eingegangen.
So kann ich zB das Virenprogramm nicht öffnen, um einen Scan durchzuführen.
Wenn man aber zB auf ein Word-Dokument klickt, gibt es keine Probleme mehr und man kann das Dokument sehen.

Über jeden Tipp wäre ich dankbar. Viele Grüße
Christian

Hallo und :hallo:

Probier das, ggf im abgesicherten Modus mit Netzwerktreibern:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hey, danke für den Tipp.

Habe Malwarebytes auf meinem Stick installiert und wollte von da einen Scan des infizierten Rechners starten. Es erscheint aber wieder, wie vorher, das „Öffnen mit“-Fenster, und der PC fragt, welches Programm ich zum Öffnen der exe-Datei verwenden möchte und schlägt den Internet Explorer vor.

Irgendwie kann er keine ausführbaren Dateien mehr öffnen. Das gleiche Problem im abgesicherten Modus.

Hat jemand ne Idee wie man das umgehen kann, alle anderen Dateien kriegt er hin. Selbst Word-Dokumente, obwohl Word.exe nicht geht.

Viele Grüße
Christian

Probier das:
Kopiere folgenden Text komplett (Code), öffne den Editor-> zu finden unter Start-> Programme-> Zubehör->Systemprogramme: "Editor" und speichere es als >> Exefix.reg << -Datei. Wichtig ist die Endung > .reg < , der Rest ist beliebig.

Danach einfach auf die gespeicherte Datei Doppelklicken.

Die Aktion ist als Administrator auszuführen!!

Code:

Windows Registry Editor Version 5.00
 

[HKEY_CLASSES_ROOT\.exe]

@="exefile"

"Content Type"="application/x-msdownload"
 

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
 

[HKEY_CLASSES_ROOT\exefile]

@="Application"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescription;Company;FileVersion"

"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
 

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"
 

[HKEY_CLASSES_ROOT\exefile\shell]
 

[HKEY_CLASSES_ROOT\exefile\shell\open]

"EditFlags"=hex:00,00,00,00
 

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"
 

[HKEY_CLASSES_ROOT\exefile\shell\runas]
 

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]

@="\"%1\" %*"
 

[HKEY_CLASSES_ROOT\exefile\shellex]
 

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]

@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
 

[HKEY_CLASSES_ROOT\regfile]

@="Registration Entries"

"EditFlags"=dword:00100000

"BrowserFlags"=dword:00000008
 

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\

  2c,00,31,00,00,00
 

[HKEY_CLASSES_ROOT\regfile\shell]

@="open"
 

[HKEY_CLASSES_ROOT\regfile\shell\edit]
 

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\

  54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\

  00
 

[HKEY_CLASSES_ROOT\regfile\shell\open]

@="Mer&ge"
 

[HKEY_CLASSES_ROOT\regfile\shell\open\command]

@="regedit.exe \"%1\""
 

[HKEY_CLASSES_ROOT\regfile\shell\print]
 

[HKEY_CLASSES_ROOT\regfile\shell\print\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\

  54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\

  00,25,00,31,00,00,00
 

[HKEY_CLASSES_ROOT\.lnk]

@="lnkfile"
 

[HKEY_CLASSES_ROOT\.lnk\ShellEx]
 

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\.lnk\ShellNew]

"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
 

[HKEY_CLASSES_ROOT\lnkfile]

@="Shortcut"

"EditFlags"=dword:00000001

"IsShortcut"=""

"NeverShowExt"=""
 

[HKEY_CLASSES_ROOT\lnkfile\CLSID]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\lnkfile\shellex]
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]

@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]
 

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]

@="Shortcut"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]

@="shell32.dll"

"ThreadingModel"="Apartment"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]

@="{00021401-0000-0000-C000-000000000046}"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]

@="lnkfile"
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]
 

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]

Rechner neu starten anschließend!!!

(Quelle=> Windows XP: Datenbankdateien wieder herstellen - div. Dateiendungen fehlen (reposaari) - Computerhilfen.de)

Hey danke Arne,
aber der PC hat sich wieder gewehrt. Habs als .reg-Datei gespeichert und wollte es dann ausfürhen. Folgende Meldung kam:
"Dok.reg kann nicht ausgeführt werden, ist keine Registrierungsdatei. Reg.dateien können nur innerhalb des Reg.editors importiert werden."
Gibts dafür ne Lösung?
Vielen Dank
Christian

Dann starte den Regisitrierungseditor über Start, Ausführen regedit
KLick dort auf Datei => Importieren => die angelegte .reg-Datei auswählen => Ok => wenn erfolgreich Rechner neu starten

Jau, danke erstmal für die Hilfe.
Leider lässt sich aber auch der Regeditor nicht öffnen. Denke nun, dass ich den ganzen Rechner plattmachen sollte. Würde die wichtigsten Dateien, wenn der Virenscan nichts ergibt auf dem neuen Rechner, auf einem anderen PC zwischenparken wollen. Muss man dabei was beachten?
Grüße
Christian

Hey,
hab nochmal als letzte Lösung vorm dem Plattmachen eigeninitiativ eine Systemwiederherstellung durchgeführt und *juhu* ich kann wieder Dateien ausführen. Hab dann die Scans von Malwarbytes und OTL durchgeführt. Die log-Files sind im Anhang, sehen aber wohl ganz ok aus, soweit ich das beurteilen kann.
Beste Grüße
Christian

Zitat:

Datenbank Version: 5363

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Ups. Hab es jetzt aktualisiert und wieder angehängt, genau wie die OTL-logs. Alte Scans gibt es leider nicht.
Danke!
Christian

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{2e6f2e5c-63f1-11de-bae1-0090f58e7664}\Shell\AutoRun\command - "" = ·Ë

O33 - MountPoints2\{2e6f2e5c-63f1-11de-bae1-0090f58e7664}\Shell\explore\Command - "" = E:\RECYCLER\INFO.exe

O33 - MountPoints2\{2e6f2e5c-63f1-11de-bae1-0090f58e7664}\Shell\open\Command - "" = E:\RECYCLER\INFO.exe

O33 - MountPoints2\{89d8d63d-4095-11de-b3b3-0090f58e7664}\Shell\AutoRun\command - "" = ·Ë

O33 - MountPoints2\{89d8d63d-4095-11de-b3b3-0090f58e7664}\Shell\explore\Command - "" = E:\RECYCLER\INFO.exe

O33 - MountPoints2\{89d8d63d-4095-11de-b3b3-0090f58e7664}\Shell\open\Command - "" = E:\RECYCLER\INFO.exe

O33 - MountPoints2\{b8091d5b-890a-11df-89e7-0090f58e7664}\Shell - "" = AutoRun

O33 - MountPoints2\{b8091d5b-890a-11df-89e7-0090f58e7664}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

[2011.03.06 19:30:34 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{D9CA9F46-B45F-42C7-81A8-6E889A1B59F9}

[2011.02.20 14:05:14 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{210F3BC5-DA3C-4481-8355-F798198A30B0}

[2011.02.20 02:05:03 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{1F4E2837-AB59-401C-B3D2-C1DB0030B8AD}

[2011.02.19 14:04:38 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{85FE6483-E85E-4A25-9F20-B3EE429C26A5}

[2011.02.19 02:04:27 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{D8B6C782-9480-4D3E-859C-0FDD7A488639}

[2011.02.18 14:04:03 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{0871C089-DC69-43A7-BE3F-AA3231AD9CFB}

[2011.02.17 16:25:32 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{AAF4A775-52CC-40D1-A2D4-C929A2DB872C}

[2011.02.17 13:09:30 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{AB8CEA5B-9AB6-49E6-8303-74C1EA3442FF}

[2011.02.16 20:25:18 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{6C6C26DF-C894-4D63-B9F1-45B64BE90AA4}

[2011.02.16 08:07:54 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{AEBA3FC0-9E79-4DFC-84BF-B16DE9F96510}

[2011.02.15 20:07:29 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{1AFC8569-784D-4155-B44A-5A975B0EE804}

[2011.02.15 08:07:04 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{F60A8B30-7897-430C-905E-48959A6E4609}

[2011.02.14 19:25:36 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{5B4940C9-DC57-44C7-AD57-53B88F55C415}

[2011.02.14 07:25:08 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{6D58A981-E51D-4EA7-B1D8-30DC03249B3F}

[2011.02.13 17:45:59 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{45CB021D-D02E-470E-83F1-E16B42C0A9C1}

[2011.02.12 11:19:42 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{C90FD9AB-2B72-468E-A0AE-9306F78FA615}

[2011.02.10 18:19:29 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{2860BBA2-79FF-4F2F-94EE-C648F06463DE}

[2011.02.09 15:42:04 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{82019961-7A30-47F7-BDA9-C448A343F4BF}

[2011.02.08 16:53:21 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{F079C7A3-BD89-4211-97C8-B84F62061B5E}

[2011.02.07 17:47:19 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{99B59DBC-47A7-4E15-BFF4-61500F6FC69F}

[2011.02.06 18:34:54 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{8BB5C6F4-F9A8-4901-8439-E64D24CAE855}

[2011.02.06 10:02:01 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{A0FDD829-1D86-44F8-8F86-513402506D71}

[2011.02.05 11:11:45 | 000,000,000 | ---D | C] -- C:\Users\Helga Rösener\AppData\Local\{1A542D1A-205D-489C-A49B-DD23A63E1E82}

[2011.02.10 19:52:35 | 000,001,883 | ---- | M] () -- C:\Users\Helga Rösener\AppData\Roaming\mercuryrc

[2011.02.20 15:43:34 | 000,011,346 | -HS- | C] () -- C:\Users\Helga Rösener\AppData\Local\gh308xv40u3ualtt81bdvrvb101kv60d3kd

[2011.02.20 15:43:34 | 000,011,346 | -HS- | C] () -- C:\ProgramData\gh308xv40u3ualtt81bdvrvb101kv60d3kd

[2011.01.12 17:07:50 | 000,001,883 | ---- | C] () -- C:\Users\Helga Rösener\AppData\Roaming\mercuryrc

:Files

E:\RECYCLER

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Habs gemacht, folgende Nachricht erschien: "System benötigt Neustart, um Dateien endgültig zu löschen."
=> logfile ist im Anhang.
Danke!
Christian

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok, habs gemacht. hier das file. Beim Erstellen des Files nach Neustart haben sich alle möglichen Programme geöffnet, weil das nach Neustart so eingestellt ist. Hoffe, das macht nichts aus...
Christian

Zitat:

AV: Norman Security Suite *Disabled/Updated* {D038CA80-26F3-90BF-94AA-03C4D945E661}

FW: Norman Security Suite *Enabled* {E8034BA5-6C9C-91E7-BFF5-AAF12796A11A}

SP: Norman Security Suite *Disabled/Updated* {6B592B64-00C9-9F31-AE1A-38B6A2C2ACDC}

Von Suites kann ich dir nur abraten, denn in den allermeisten Fällen ist die Firewallkomponente einer Suite Quatsch mit Sauce. Ich empfehle einen reinen Virenscanner wie zB MS Security Essentials plus Windows-Firewall plus ggf. einen (DSL-)Router.

Möchtest du Norman deinstallieren? :pfeiff:

Hm ups. Hab das Virenprogramm wohl nicht ausgeschaltet. Wollte es aber nicht unbedingt deinstallieren. Sonst irgendetwas auffälliges?
Gruß
Christian

Zitat:

Wollte es aber nicht unbedingt deinstallieren.

Dann deinstallier zumindest die Firewallkomponente. Besser: Nimm nur einen reinen Virenscanner, die die Firewallkomponenten macht zu häufig Probleme und sind unsicherer als die Window-Firewall.

Hm ja ok.
Das muss ich absprechen, war nämlich nicht mein Rechner. Aber inwieweit kann man denn sagen, ob der Rechner jetzt ok ist? Und was ist mit Dateien vom infizierten Rechner, wie muss man die behandeln, wenn man sie wonaders draufspielt? Einfach Virenscan oder noch mehr?
Danke,
Christian

Wir sind noch nciht ganz durch.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Heyhey,
hab lange nichts hören lassen, aber jetzt sind die files da.
Danke
Christian

hier noch einmal das osam-file.
danke,
christian

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Heyho,
danke für die schnelle Antwort. Hab die beiden Scans durchgeführt, ohne Befund. Hier trotzdem die Logs.
Christian

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hey,
hab die Scans gemacht und SuperAntiSpyware hat auch was gefunden. Hab die Dateien vom Programm löschen lassen.
Gruß
Christian

Sieht ok aus, da wurden nur Cookies nd Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hey,
sonst gabs keine Probleme oder Auffälligkeiten. Kann man den PC so wieder benutzen? Oder noch andere Scans durchlaufen lassen, zur Sicherheit?
Gruß
Christian

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.