Trojaner-Board - Problem mit SYSTEM SECURITY ANTIVIRUS

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit SYSTEM SECURITY ANTIVIRUS (https://www.trojaner-board.de/99334-problem-system-security-antivirus.html)

Problem mit SYSTEM SECURITY ANTIVIRUS

Hallo!

Ich habe eine Mail von einer Person bekommen, die ich sehr gut kenne und auf auf dessen Link ich dann auch geklickt habe und dieser mir jetzt vermutlich Torjaner/Würmer/Viren auf meinen PC beschert hat.

Der Link lautet: hxxp://jp-styleru.705.com1.ru/ewm.php

Dann öffnete sich ein Fenster (ein Tap im firefox mit dem Titel: My computer Online Scan), dass wie ein Explorer aussieht und ein neues Fenster öffnet mit dem Titel: "Die Seite mit der Adresse hxxp://stupadoden.co.cc" darin steht ein Hinweis der wie folgt lautet:
"Danger Virus was found on your computer, Click "Okay" to install free System Security Antivirus"

Ausserdem gibt es ein weiteres Fenster mit dem Titel "Windows Security Alert" in dem mir "Dedected spyware and adware on your computer" aufgelistet werden. Diese kann ich nur löschen indem ich dieses System-Security-Antivirus-Program" herunterlade. Auch wenn ich dieses Tap schließen möchte, kommt diese Meldung wieder.

Werde diese Seite vorerst nicht schließen und warte auf eure Hilfe!

Vielen Dank im Voraus! Ich hoffe, es kann mir jemand helfen.
Liebe Grüße
Vicky

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

Dies sind umbenannte Kopien

und speichere die Datei auf dem Desktop.

Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen das es läuft.
Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt 2

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

explorer.exe

regedit.exe

winlogon.exe

wininit.exe

userinit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Vielen lieben Dank für die schnelle Hilfe. Werde das jetzt mal versuchen und melde mich danach wieder!!

lg vicky

nachdem mein pc zuerst die internetverbindung verweigert hat und jetzt ganz abgestürzt ist, bleibt mit nur mehr ein neustart. Vermutlich wird dann die internetseite, in der die oben beschriebene warnung aufgetaucht ist, nicht mehr da sein. daher meine frage: soll ich die schritte nach dem neustart trotzdem noch befolgen?

lg

Alles wie ich geschrieben habe.

Hab das jetzt gemacht:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6627

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20.05.2011 18:05:06
mbam-log-2011-05-20 (18-05-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168498
Laufzeit: 1 Stunde(n), 22 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 7
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{04079851-5845-4dea-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04079851-5845-4DEA-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04079851-5845-4DEA-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultFilter.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultFilter (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C900B400-CDFE-11D3-976A-00E02913A9E0} (Adware.WebHancer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistant.Auxiliary (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistant.Auxiliary.1 (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IST (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RX Toolbar (Adware.RXToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Cydoor (AdWare.Cydoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MySearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\webHancer (Adware.WebHancer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWaySearchAssistant (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{59879FA4-4790-461c-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultTracker.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultTracker (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{59879FA4-4790-461C-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\programme\MyWay (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\myBar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\whinstall (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\MyWay\SrchAstt\1.bin\PARTNER.DAT (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0107B084 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0131BA9A (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\01F30506 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0289C9A4 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\whinstall\whAgent.inf (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\programme\whinstall\whinstaller.ini (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_1_0_449200.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_111600.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_152400.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_155300.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_164100.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445100.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445400.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445500.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer\Desktop\WiNlOgOn.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

...und den Inhalt von OTL.txt als zip. und Extras.txt

Ich hoffe, das war in Ordnung soweit?

Liebe Grüße,
Vicky

Schritt 1

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop.

Schließe alle Browserfenster.
Doppelklicke die JavaRa.exe, um das Programm zu starten.
Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator starten
Die Sprache auswählen, nimm Deutsch und klicke "Select".
Klicke auf Weitere Funktionen, mache Haken bei Unnötige JRE Dateien löschen und Sun Download Manager löschen.
Klicke auf Start und jeweils auf Ja und schließe das Fenster "Weitere Funktionen" wieder.
Klicke auf Ältere Versionen löschen, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
Klicke auf Ja, wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

Schritt 2

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL
 

PRC - [2005.12.06 01:51:24 | 000,086,016 | ---- | M] () -- C:\Programme\WebRebates4\w11150.exe

PRC - [2005.12.06 01:51:15 | 000,241,664 | ---- | M] () -- C:\Programme\WebRebates4\webrebates.exe

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O4 - HKLM..\Run: [webrebates] C:\Programme\WebRebates4\webrebates.exe ()

O8 - Extra context menu item: Web Rebates. - C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm ()

O32 - AutoRun File - [2001.07.28 07:07:38 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]

O32 - AutoRun File - [2004.04.30 23:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]

O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\AutoRun\command - "" = ravira/ravira32.exe

O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\explore\command - "" = ravira/ravira32.exe

O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\open\command - "" = .\ravira/ravira32.exe

O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell - "" = AutoRun

O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe

MsConfig - StartUpReg: WebRebates - hkey= - key= - C:\Programme\WebRebates4\webrebates.exe ()

[2011.05.08 20:24:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs

[2011.05.08 20:24:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

hier die logfiles von schritt 1 und 2.

vielen Dank derweil.

eine Frage zu gmer.exe:

soll ich die Hacken nur auf C:\ lassen, oder alle Systemplatten anhacken?

Hört sich für mich nicht eindeutig an:

Zitat:

# Entferne rechts den Haken bei:

* Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)

Zitat:

%SystemDrive% = C: |

Also nur bei C den Hacken lassen.

alles klar! Danke dir!

ok. schritt 3 erledigt.

Schritt 1

Wie läuft das System?

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

explorer.exe

regedit.exe

winlogon.exe

wininit.exe

userinit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Wie läuft das System?? kann mich nicht beschweren?! Weiß nicht genau, was du da gerne wissen möchtest?! ;) ist nun wieder alles ok??

...und noch einmal otl, damit kenn ich mich schon aus!

vielen dank, derweil!

lg