Nagut. Dann versprich zumindest dieses Teil zu löschen und wir machen weiter.

Vielen Dank!


Datei ist bereits gelöscht.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://yeppo.net
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=bf&s={searchTerms}&f=4
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=bf
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.selectedEngine: "Facemoods Search"
FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=bf"
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.04.02 14:00:00 | 000,000,112 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2010.04.29 14:12:30 | 000,000,151 | ---- | M] () - K:\autorun.inf -- [ FAT32 ]
[2011.07.23 22:59:18 | 000,065,024 | ---- | C] (Systemintegrasjon AS) -- C:\WINDOWS\System32\MbrFix.exe
[2011.07.23 22:59:28 | 000,007,984 | ---- | M] () -- C:\WINDOWS\System32\MbrFix.htm
[2011.07.23 15:56:19 | 000,000,248 | ---- | M] () -- C:\WINDOWS\emug3.ini
[2011.07.23 12:48:28 | 000,000,187 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2011.06.29 22:27:47 | 036,682,774 | ---- | M] () -- C:\Programme\Supermemo2006 Build 13.03 February 09, 2008 By BolasXYZ.rar
[2011.06.29 19:01:22 | 000,006,593 | ---- | M] () -- C:\ulrichxxx.mws
[2011.06.29 18:22:10 | 000,001,394 | ---- | M] () -- C:\ulrichx.mws
@Alternate Data Stream - 233 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D282699C
@Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4A29ED9D
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Getan wie mir geheißen, Computer hat nicht neu gestartet, hier die logdatei:

Zitat:

========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename
Prefs.js: "Facemoods Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://start.facemoods.com/?a=bf" removed from browser.startup.homepage
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
D:\autorun.inf moved successfully.
K:\autorun.inf moved successfully.
C:\WINDOWS\system32\MbrFix.exe moved successfully.
C:\WINDOWS\system32\MbrFix.htm moved successfully.
C:\WINDOWS\emug3.ini moved successfully.
C:\WINDOWS\hpbafd.ini moved successfully.
File C:\Programme\Supermemo2006 Build 13.03 February 09, 2008 By BolasXYZ.rar not found.
C:\ulrichxxx.mws moved successfully.
C:\ulrichx.mws moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP282699C deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4A29ED9D deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07262011_193855

LG

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hier der gezippte Ordner. Ich habe alle Virenscanner deaktiviert aber es gibt einen prozess "avguard SYSTEM 500kb" der sich nicht beenden lassen möchte. Es ist aber kein Antivirensymbol mehr unten in der taskleiste und beim packen hat auch niemand protestiert. Im AVCenter steht neben Anti Vir Guard auch 'deaktiviert'.

LG

Edit: Oh, ich sehe gerade ich habe das mit dem Hochladen falsch verstanden. Ich machs nochmal und diesmal richtig.

Ich denke jetzt habe ich es richtig gemacht:

Zitat:

Datei: MovedFiles.zip empfangen

Vorgang erfolgreich abgeschlossen.

LG

Entfern den Anhang hier! Solche Dateien dürfen nur im UpChannel sein, weil sich jeder die Datei mit potentiellem Schadcode runterladen kann!

Zitat:

Zitat von cosinus

Entfern den Anhang hier! Solche Dateien dürfen nur im UpChannel sein, weil sich jeder die Datei mit potentiellem Schadcode runterladen kann!

Entfernt. Entschuldigung bitte.

Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Ich habe unhinde sicherheitshalber vorher ausgeführt und hier ist das Log von TDSSKiller:

LG

Und hier ist der nach dem ausführen von Kaspersky durchgeführte Malewarebyte-Scan log:


Grüße

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix ausgeführt und weder maus noch tastatur angefasst, hier das log:

LG

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Killall::

Driver::
pqnbjnq
xcpip
xpsec

File::
c:\windows\system32\drivers\lnnvkvuo.sys
c:\windows\system32\drivers\xcpip.sys
c:\windows\system32\drivers\xpsec.sys

Filelook::
c:\windows\system32\drivers\mv2.sys

Regnull::
[HKEY_USERS\S-1-5-21-1409082233-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7D0A40A4-9858-778E-57D4-D2CC60C2443B}*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8118:TCP"=-
"22681:TCP"=-
"5900:TCP"=-
"5800:TCP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!