Es ist leider passiert, und da ich diesen Rechner beruflich nutze, bin ich ganz schön in der Klemme. Warum hat mein Antivir so gepennt?

Sofort habe ich (wohl im Reflex) den Rechner vom lokalen Netz genommen.

ich kann nur noch im abgesicherten Modus arbeiten, deshalb habe ich alle scans vom DOS_Fenster aus gestartet. Das Netzwerk wird im Moment durch einen USB-Stick ersetzt.

ich habe, wie Ihr wünscht,

den DEFOGGER ausgeführt
OLT laufen lassen
und mit GMER gescant

Die log-files sind gezippt und angehängt.

Zitat:

Warum hat mein Antivir so gepennt?

Die Frage taucht häufig auf, denn vielen ist einfach unklar, dass Virenscanner keinen 100%igen Schutz bieten können! Ein Virenscanner allein garantiert niemals, dass ein Rechner fortan sicher virenfrei bleibt!


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe (Riviera Knoxville Rowland Dominican Tarbell Byrd)
O21 - SSODL: eqvwamkl - {359F2E6C-97F8-438F-A41B-0DA66AA877EF} - CLSID or File not found.
O21 - SSODL: wnslvxtf - {9B08F400-DB12-4BFB-AC05-EC33764E8CEE} - CLSID or File not found.
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Prüfe anschließend den normalen Modus von Windows und melde den Status hier zurück. Wenn der wieder funktioniert, sind wir aber noch NICHT durch!

Hallo Arne
erstmal Danke für Deine Antwort und Deine Mühe.
Den Fix habe ich durchgeführt, allerdings kann ich nur mit DOS-Fenstern arbeiten, copy-paste geht da nicht und ich musste die paar Zeilen abtippen.
Ich habe den Rechner neu gestartet, Windows fuhr auch hoch, aber der Virus ist wieder da.
Das ist das Logfile:
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe deleted successfully.
File C:\Dokumente und Einstellungen\Ibrahim\ Anwendungsdaten\jashla.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\eqvwamkl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{359F2E6C-97F8-438F-A41B-0DA66AA877EF}\ not found.
File CLSID or File nor found. not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\wnslvxtf deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9B08F400-DB12-4BFB-AC05-EC33764E8CEE}\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08092011_155846

Beim Abtippen ist dir auch ein Fehler passiert.
Warum machst du das ganze nicht mit OTLPE?

Gerne mache ich das mit OTLPE,

was ist das?
Und wo kriege ich das her?

Gruß
Regina

Zwischeninfo

bin beim Brennen der OTLPENet
Melde mich dann wieder

So, jetzt aber:

Hat alles soweit funktioniert mir der OTLPENet-CD.

Windows startet und sieht "normal" aus.

Das logfile ist angehängt

wie geht es weiter?


Regina

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom (im normalen Windows, KEIN OTLPE!)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Guten Morgen Arne,
ich hoffe, Dein Kaffee schmeckt *g*

Ich habe jetzt also gescannt, es sind 4 Files angehängt
MBAM einmal ohne LAN, dafür mit nicht aktuellem Scanner
MBAM dann mit Netz und aktualisiertem Scanner
OTL mit AVIRA (sorry, ich bin ein Schussel)
OTL ohne AVIRA, dafür wieder ausgestöpselt

Die OTL_rar.zip ist eine RAR-Datei, mein Zip läuft irgendwie nicht. Bitte umbenennen. Anders konnte ich nicht hochladen.

Da sind schon noch einige Meldungen....
Schau bitte nochmal drauf

Gruß
Regina

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.01.28 18:36:42 | 000,526,336 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2011.01.28 18:10:28 | 000,387,072 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
O2 - BHO: (no name) - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - No CLSID value found.
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BF53502D-3BEF-4273-9925-89D7526A5F87} - No CLSID value found.
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
:Files
C:\Programme\Gemeinsame Dateien\Spigot
C:\Programme\Application Updater
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

bitteschön.

Mein schmeckt mir immer!


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

negativ.....

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

seufz
Ich habe wirklich AVIRA ausgeschaltet, alle 3 Häkchen entfernt und das Schirmchen war ZU.
Warum Combo trotzdem meckert, dass es noch da ist, ist mir ein Rätsel.
Anbei die Log-Datei