Hallo,

auch mich hat es wohl erwischt. Bekomme nach dem Hochfahren ein Bild mit der Aufforderung Geld zu überweisen.
Habe die CD gebrannt und den OTL - Scan durchgeführt. Datei anbei.
Hoffe ich habe alles richtig gemacht.

Vorab vielen Dank für eure Hilfe!!!

Ben

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Ben_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKU\Ben_ON_C..\Run: [avupdate] C:\Users\Ben\AppData\Roaming\jashla.exe (Spoke Draw Store)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{8522e717-04f8-11e0-afff-00247e83cfb0}\Shell - "" = AutoRun
O33 - MountPoints2\{8522e717-04f8-11e0-afff-00247e83cfb0}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{8522e719-04f8-11e0-afff-00247e83cfb0}\Shell\AutoRun\command - "" = F:\b9v.exe
O33 - MountPoints2\{8522e719-04f8-11e0-afff-00247e83cfb0}\Shell\open\Command - "" = F:\b9v.exe
O33 - MountPoints2\{ad5c5bc0-31be-11e0-bc70-00247e83cfb0}\Shell\AutoRun\command - "" = yveqsh93.exe
O33 - MountPoints2\{ad5c5bc0-31be-11e0-bc70-00247e83cfb0}\Shell\open\Command - "" = yveqsh93.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
:Files
C:\Users\Ben\AppData\Roaming\jashla.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo,
hab alles gemacht - Windows ist normal hochgefahren.
zip-Datei wurde auch hochgeladen.
Bis hierher vielen Dank

Ok. Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hier malewarebytes:

und hier OTL:

Zitat:

c:\Recycle.Bin\config.bin

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem Rechner unter diesem infizierten Windows?

nein, ist sozusagen mein Zweitrechner.
Was würdest du denn vorschlagen?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKCU..\Run: [avupdate]  File not found
O4 - HKCU..\Run: [SkypeNotifier]  File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{8522e717-04f8-11e0-afff-00247e83cfb0}\Shell - "" = AutoRun
O33 - MountPoints2\{8522e717-04f8-11e0-afff-00247e83cfb0}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{8522e719-04f8-11e0-afff-00247e83cfb0}\Shell\AutoRun\command - "" = F:\b9v.exe
O33 - MountPoints2\{8522e719-04f8-11e0-afff-00247e83cfb0}\Shell\open\Command - "" = F:\b9v.exe
O33 - MountPoints2\{ad5c5bc0-31be-11e0-bc70-00247e83cfb0}\Shell\AutoRun\command - "" = yveqsh93.exe
O33 - MountPoints2\{ad5c5bc0-31be-11e0-bc70-00247e83cfb0}\Shell\open\Command - "" = yveqsh93.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\reatogoMenu.exe
[2011.05.15 19:34:08 | 000,000,000 | ---- | M] () -- C:\Users\Ben\AppData\Roaming\Adobe\plugs\mmc113.exe
[2011.05.15 19:34:09 | 000,000,000 | ---- | M] () -- C:\Users\Ben\AppData\Roaming\Adobe\plugs\mmc81.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

okay, habe ich gemacht. datei anbei.
Hilft es an dieser Stelle wenn ich einfach windows neu installiere? Oder muss erst alles "bereinigt" sein?

gruß, ben

oops, hier jetzt die richtige datei...

und noch nen versuch...

Zitat:

-> No action taken.

Hattest du mit Malwarebytes die Funde nicht entfernt?!
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Habe Malewarebytes gestern Abend nochmal laufen lassen und danach entfernt... danach gab es keine Funde mehr.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!