Guten aben,
wir haben das oben genannte Problem. Die Logdateien sind bereits ausgelesen und sind an diesem Beitrag angehängt. Wie soll ich nun weiter vorgehen?

Vielen Dank für die Unterstützung im Vorraus.

Gruß

Csi72

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Schritt 2

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo,

ich habe nun den ersten Schritt, wie oben beschrieben, ausgeführt. Angehängt ist "shell.txt"

Werde dann jetzt versuchen mit dem 2. Schritt fortzufahren. Aber eine Frage habe ich noch: Kann ich die Datei aus Schritt 2 direkt von meinem " infizierten" Rechner downloaden? Oder auch erst mit einem USB-Stick auf den Rechner bringen?

Danke..

Melde mich Morgen, sorry.

Du kannst es direkt vom infizierten Rechner machen.

Hallo,

leider klappt der 2. Schritt nicht so wie geplant, denn sobald der Rechner hochgefahren ist, kommt wieder diese Sperrung von der Bundespolizei...
Was soll ich tun?
Danke!

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.
• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :OTL
  O4 - HKU\Lisa_ON_C..\Run: [avupdate] C:\Users\Lisa\AppData\Roaming\jashla.exe (Fits Dwarf Reek Atomic Viii)
  O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
  O33 - MountPoints2\{7909bc7e-3f43-11df-aa67-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{7909bc7e-3f43-11df-aa67-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
  O33 - MountPoints2\{7909bc80-3f43-11df-aa67-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{7909bc80-3f43-11df-aa67-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{af9eb5d6-382a-11df-9e78-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{af9eb5d6-382a-11df-9e78-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{af9eb5fb-382a-11df-9e78-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{af9eb5fb-382a-11df-9e78-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{bcc403f6-35dc-11df-b371-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{bcc403f6-35dc-11df-b371-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{bcc4041a-35dc-11df-b371-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{bcc4041a-35dc-11df-b371-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{c273b43c-35ed-11df-9f33-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c273b43c-35ed-11df-9f33-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{c273b43e-35ed-11df-9f33-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c273b43e-35ed-11df-9f33-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{c97bba32-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c97bba32-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
  O33 - MountPoints2\{c97bba40-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c97bba40-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{c97bba70-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c97bba70-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
  O33 - MountPoints2\{c97bba72-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{c97bba72-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
  O33 - MountPoints2\{dbb552a0-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{dbb552a0-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{dbb552b4-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{dbb552b4-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{dbb552be-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{dbb552be-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{dbb552c0-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
  O33 - MountPoints2\{dbb552c0-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
  O33 - MountPoints2\{e945388d-208f-11df-8ce7-00a0c6000000}\Shell - "" = AutoRun
  O33 - MountPoints2\{e945388d-208f-11df-8ce7-00a0c6000000}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
  [2011/09/05 15:25:14 | 000,205,824 | ---- | C] (Fits Dwarf Reek Atomic Viii) -- C:\Users\Lisa\AppData\Roaming\jashla.exe
  :Commands
  [purity]
  [emptytemp]
           

• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
• Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo,
also ich bin jetzt so vorgegangen, wie beschrieben...

Ich bin mir nicht sicher, gehe aber davon aus, dass du den Code meinst der nacher unterhalb von Custom Scans/Fixes steht
Da stand:
[emptytemp]
So dann habe ich meinen Rechner heruntergefahren und dann ganz normal ohne BootCD wieder hochgefahren, nach dem anmelden war erstmal eine Datei (09132011_161648.txt) geöffnet. Es kommt aber keine Meldung mehr von der Bundespolizei.
Soll ich nun mit Schritt 2 weitermachen? Bin ich wieder Virenfrei?
Danke,
csi72

Genau, mache Schritt 2 von oben noch.

Hey,
also ich habe jetzt den 2. Schritt gemacht und ich muss sagen, dass alles gut geklappt hat, keine Virenattacken o.ä.
Die beiden von Malware gefundenen Dateien wurden laut Malware erfolgreich entfernt... Kann ich dem trauen?
Im Anhang noch einmal die Log- Datei. Muss ich nioch irgendetwas tun? Oder ist alles behoben und hoffentlich clean?
Danke!

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
es hat ein wenig gedauert, aber ich habe es geschafft, den Online Scanner durchlaufen zu lassen, wie es scheint hat er noch etwas gefunden...

naja im anhang die log-datei.
Gruss, csi72

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hi,
ich hätte da noch mal eine Frage vorher..
Habe OTL runtergeladen und ich soll nun ja bei Extra- Registrierung "Benutze safe-list" anklicken. Was ist bei den anderen? Prozesse, Module... soll ich die auf "Aus" stellen?
danke

Lass diese wie sie sind.