Guten Tag,
seit gut einem Monat hat sich mein Anti-Virus nicht mehr updaten lassen, hatte mir nichts dabei gedacht gehabt und mir die neue version downgeloadet. Alte Version deinstalliert, neue installiert. Zur Sicherheit wollte ich dann einen Virencheck machen, dies ging aber nicht, weil angeblich eine Datei fehlt. Kurz darauf sah ich dass AntiVir deaktiviert war, der Knopf zum Aktivieren war grau hinterlegt und ich konnte ihn nicht drücken.
Daraufhin habe ich mir avast heruntergeladen. Dort das gleiche Problem. Ein Suchlauf ist nich möglich(diesmal haben die Endpunkte nicht gestimmt), das Programm ist inaktiv.

Seitdem bekomme ich ständig anfragen von der Windows-Firewall, irgendwelche Aktivitäten zuzulassen, die nur durch Zahlenreihen angegeben werden, die ich jedoch verneine.


Wollte jetzt, wie in der Anleitung zum Erstellen eines neuen Themas, die entsprechenden Schritte durchgehen. Bereits beim defogger gab es Probleme und ich bekam folgende Fehlermeldung


"defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:00 on 27/09/2011 (XXX)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCUAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-"

Die folgenden Schritte(OTL und gmer) waren mir daraufhin auch nicht von erfolg gekrönt.

Ich hoffe irgendjemand kann mir dabei helfen

Gruß T2thek

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Führe danach auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Abend,

hatte den Vollscan von Malewarebyte versucht. Hatte vorher aktualisiert gehabt, sah auch alles ganz gut aus. Etwa 5 sekunden nachdem ich den scan gestartet hatte schloss das fenster automatisch und der scan hatte abgebrochen. Das Programm kann ich jetzt weder öffnen noch löschen, da ich plötzlich keine "ausreichende Berechtigung" habe.

Den Eset scanner hab ich durchgeführt, hat auch alles gut geklappt. Hier der log.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=96e767be5eee54488e655d532c2373c9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-27 03:01:02
# local_time=2011-09-27 05:01:02 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775166 100 93 9769 53659369 4940 0
# compatibility_mode=5121 16776574 100 92 84575257 131852608 0 0
# compatibility_mode=5892 16776637 100 100 8620 154660234 0 0
# compatibility_mode=8192 67108863 100 0 330 330 0 0
# scanned=104306
# found=14
# cleaned=0
# scan_time=8155
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\caah.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\coeh.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\exyxw.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\kyybbo.exe a variant of Win32/Kryptik.TEO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\luulyt.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\otguix.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\owoluz.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\puqi.exe a variant of Win32/Kryptik.TEO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\voik.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thore\AppData\Local\Temp\NERO1003378\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thore\AppData\Roaming\File\ybozl.exe a variant of Win32/Kryptik.TGE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thore\AppData\Roaming\Iwcae\razio.exe a variant of Win32/Kryptik.TEO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thore\AppData\Roaming\Ohmyux\sivo.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Thore\AppData\Roaming\Urgyiz\nuowa.exe a variant of Win32/Kryptik.TFQ trojan (unable to clean) 00000000000000000000000000000000 I

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Gute Morgen,
also das Problem ist weiterhin das gleiche, habe beide angegebenen Varianten ausprobiert. Malewarebytes lässt sich problemlos installieren und updaten, des Suchlauf kann ich auch starten. Nach einigen sekunden jedoch verschwindet das Fenster einfach, Maleware hat sich automatisch geshlossen.
Gruß T2theK

Wie sieht es im abgesicherten Modus mit Netzwerktreibern aus?

Auch im abgesicherten Modus war das Ergebnis das gleiche, der scan bricht plötzlich ab.
Der Gesamtzustand von meinem Laptop hat sich seit gestern rapide verschlimmert. Ich kann ihn nur noch im abgesicherten modus starten, ansonsten zeigt er mir den warnhinweis der "bundespolizei" an, ähnlich dem hier abgebildeten link.

hxxp://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html

Die Anleitung zum entfernen hat mir jedoch nicht geklappt.
Des weiteren überhitzt der Laptop plötzlich und schaltet sich automatisch aus, was er ansonsten in dieser Form fast nie tut.
Gruß T2thek

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hab die CD gebrannt, hat auch alles gut geklappt, konnte davon dann auch booten
Hab dann OTLPE geöffnet und wollte dann meine Festplatte mit windows auswählen, die gab es jedoch nicht
zur auswahl standen:
My Computer
RAMDisk(B
Removable Disk (C
ReatogoPE (X
Shared Documents

Ich versuchte dann C:\Windows (worin mein windows ist), daraufhin bekam ich jedoch die fehlermeldung "no windows installations found)

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

mmh, das umstellen hat funktioniert gehabt, konnte auf IDE umstellen, hat jedoch am ergebnis nichts geändert
wenn ich über OTLPE boote wird mir auch im Arbeitsplatz keine Festplatte angezeigt, lediglich C: als removable disk, RAM und die CD
Gruß T2theK

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

yo hat funktioniert, hier die shell.txt


WIN_VISTA X86Service Pack 2

HKLM\..\Winlogon; Shell = explorer.exe
No action taken
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [StartCCC] = "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\..\Run [SynTPEnh] = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [PLFSetI] = C:\Windows\PLFSetI.exe
HKLM\..\Run [LManager] = C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
HKLM\..\Run [eRecoveryService] =
HKLM\..\Run [ArcadeDeluxeAgent] = "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
HKLM\..\Run [CLMLServer] = "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
HKLM\..\Run [Skytel] = Skytel.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM\..\Run [Adobe ARM] = "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [DivXUpdate] = "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [mslivemsn] = C:\Windows\TEMP\ncdgdnx\svchost.exe
HKLM\..\Run [MqmPuM] = C:\Windows\TEMP\uzfce8.exe
HKLM\..\Run [MqmPMQ] = C:\Windows\TEMP\a16h4fx.exe

HKCU\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKCU\..\Run [EA Core] = "E:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKCU\..\Run [Userinit] = C:\Users\Thore\AppData\Roaming\appconf32.exe
HKCU\..\Run [ICQ] = "E:\Program Files\ICQ6.5\ICQ.exe" silent
HKCU\..\Run [conhost] = C:\Users\Thore\AppData\Roaming\Microsoft\conhost.exe
HKCU\..\Run [4E3E0230AEBB4E96] = C:\Recycle.Bin\Recycle.Bin.exe
HKCU\..\Run [qoef.exe] = C:\Users\Thore\AppData\Roaming\Ohtyyx\qoef.exe
HKCU\..\Run [{382EDBE4-F64D-0396-D633-106C38B840CF}] = C:\Users\Thore\AppData\Roaming\Ciero\acfoi.exe
HKCU\..\Run [vasja] = C:\Windows\System32\0.7097733760616941.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Winlogon; Shell = explorer.exe,C:\Users\Thore\AppData\Roaming\dwm.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [avupdate] = C:\Windows\system32\config\systemprofile\AppData\Roaming\jashla.exe
HKU\.DEFAULT\..\Run [vasja] = C:\Windows\system32\0.003181264948232343.exe
HKU\.DEFAULT\..\Run [MqmPuM] = C:\Windows\TEMP\uzfce8.exe
HKU\.DEFAULT\..\Run [MqmPMQ] = C:\Windows\TEMP\a16h4fx.exe
HKU\.DEFAULT\..\Run [{B2FBBC39-87AE-11DD-8B10-806E6F6E6963}] = C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\{B2FBBC39-87AE-11DD-8B10-806E6F6E6963}\svghost.exe
HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [EA Core] = "E:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [Userinit] = C:\Users\Thore\AppData\Roaming\appconf32.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [ICQ] = "E:\Program Files\ICQ6.5\ICQ.exe" silent
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [conhost] = C:\Users\Thore\AppData\Roaming\Microsoft\conhost.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [4E3E0230AEBB4E96] = C:\Recycle.Bin\Recycle.Bin.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [qoef.exe] = C:\Users\Thore\AppData\Roaming\Ohtyyx\qoef.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [{382EDBE4-F64D-0396-D633-106C38B840CF}] = C:\Users\Thore\AppData\Roaming\Ciero\acfoi.exe
HKU\S-1-5-21-4053865796-3286422634-2089901766-1000\..\Run [vasja] = C:\Windows\System32\0.7097733760616941.exe
HKU\S-1-5-18\..\Run [avupdate] = C:\Windows\system32\config\systemprofile\AppData\Roaming\jashla.exe
HKU\S-1-5-18\..\Run [vasja] = C:\Windows\system32\0.003181264948232343.exe
HKU\S-1-5-18\..\Run [MqmPuM] = C:\Windows\TEMP\uzfce8.exe
HKU\S-1-5-18\..\Run [MqmPMQ] = C:\Windows\TEMP\a16h4fx.exe
HKU\S-1-5-18\..\Run [{B2FBBC39-87AE-11DD-8B10-806E6F6E6963}] = C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\{B2FBBC39-87AE-11DD-8B10-806E6F6E6963}\svghost.exe

==== FINISH 02.10-20.27 ====

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset