Hallo,
meine Freundin hat seit ner Weile dieses Vista Recovery Malware drauf. Und gestern habe ich mich mal damit beschäftigt und mit Hilfe der Anleitung aus dem Anleitungsbereich, habe ich meiner Meinung nach soweit auch alles entfernt. Da ich mir aber nicht sicher bin würde ich gerne mal eure Meinung hören ob jetzt wieder alles clean ist. Dazu habe ich im Anhang mal die Logfiles von OTL und GMER hochgeladen.

Der Laptop läuft mit Windows Vista Home Premium 32bit.

Es zeigen sich auch keine Symptome mehr.

achja hier noch das log von defrogger:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:36 on 10/06/2011 (Elke)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Wäre super wenn jemand behilflich wäre.

Danke im Voraus.

Gruß Notarzt

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011.05.18 15:58:29 | 000,000,144 | ---- | M] () -- C:\ProgramData\~33480440r
[2011.05.18 15:58:29 | 000,000,120 | ---- | M] () -- C:\ProgramData\~33480440
[2011.05.18 15:58:23 | 000,000,336 | ---- | M] () -- C:\ProgramData\33480440
[2011.06.10 12:34:12 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

hi!

Danke schonmal für die Hilfe.

Hab den Fix gerade ausgeführt. Hat keine Sekunde gedauert. Und es wurde auch kein Neustart gemacht.

Resultat ist folgendes:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
C:\ProgramData\~33480440r moved successfully.
C:\ProgramData\~33480440 moved successfully.
C:\ProgramData\33480440 moved successfully.
C:\Windows\System32\acovcnt.exe moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.24.0 log created on 06132011_102159
         

Was würdet ihr jetzt sagen? Ist der Rechner sauber oder muss ich noch weitere Schritte gehen?

Danke nochmal.

Gruß Notarzt

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

sowohl das unhide als auch tdsskiller habe ich schon genutzt. tdss hat nix gefunden. hab den rechner gerade aber nich vor mir daher kann ich kein logfile posten.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.