Hallo,
Habe vor 3 Tagen oder so entdeckt, dass die Ordner auf meinen beiden mobilen Platten nur noch Verknüpfungen sind. Ich habe aber dafür nen versteckten Ordner "recycler" bekommen. Dort ist auch eine Exe und eine ini Datei, welche ich gelösht habe. Die Verknüpfungen verweisen auch auf diese. Nachdem ich die Datei gelöscht habe, komme ich nicht mehr in den entsprechenen Ordner hinein.
Als ich Malwarebytes' Anti-Malware laufen hatte, wurden nen paar mal Seiten geblockt, in der schnelle ging das glaube ich über skype!
Das ist die Zeile aus der Velrinkung:

"%windir%\system32\cmd.exe /c "start %cd%RECYCLER\6c257b9d.exe &&%windir%\explorer.exe %cd%OSLO 2011"

Danke schonmal für die Hilfe!

P.s.: muss ich die Platten bei den scans immer angeschlossen haben?

P.p.s.: Hatte das thema schon im falschen forum offen, hab da schon um closen/löschen des Beitrages gebeten!

Zitat:

P.s.: muss ich die Platten bei den scans immer angeschlossen haben?

Optimalerweise ja!

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hey!
Erstmal das wichtigste: Danke für die Hilfe.
Nachdem ich hier nen bissl gestöbert hatte, habe ich Malwarebytes anti maleware und emsisoft anti Malware schon durchlaufen lassen.
Dort habe ich den Wurm "worm.lnk.dorkbot!e2" gefunden und entfernt. Die lnk dateien waren der Virus. leider habe ich das log nicht gespeichert. Unhide habe ich dann benutzt.
um die Ordner wieder sichtbar zu machen! Die waren dann noch als vewrstekcte Ordner da, habe den inhalt der nicht als versteckter Ordner im Browser war,
in nen neuen Überoerdner kopiert und gut war es. Habe danach nochmal durchlaufen lassen und nichts mehr gefunden.Habe das Log wieder nicht gespeichert!
Aber hab es jetzt wegen der aufforderung nochmal durchlaufen lassen . Hoffe das ist jetzt kein Problem!
Hab das Thema noch dagelassen, um sicher zu gehen, das die Platten und alles komplett sauber sind, gefährdet ja nicht nur mich.
Ah so mal nebenbei.. reichen "Antivir" und spybot search and destroy und "AdAware" normaerweise aus, oder sollte man sich emisoft antimaleware oder so gönnen,
das der ganze sch... nicht wieder passiert?

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8025

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

27.10.2011 03:14:24
mbam-log-2011-10-27 (03-14-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 655551
Laufzeit: 2 Stunde(n), 5 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Eset:
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5e47b6fc4f01c84f99d51be21eba9417
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-27 06:51:39
# local_time=2011-10-27 08:51:39 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 912717 912717 0 0
# compatibility_mode=5893 16776574 100 94 9449714 71328101 0 0
# compatibility_mode=8192 67108863 100 0 165754 165754 0 0
# scanned=22
# found=0
# cleaned=0
# scan_time=47
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5e47b6fc4f01c84f99d51be21eba9417
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-27 07:27:46
# local_time=2011-10-27 09:27:46 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 913007 913007 0 0
# compatibility_mode=5893 16776574 100 94 9450004 71328391 0 0
# compatibility_mode=8192 67108863 100 0 166044 166044 0 0
# scanned=122285
# found=0
# cleaned=0
# scan_time=1925
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5e47b6fc4f01c84f99d51be21eba9417
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-28 03:37:36
# local_time=2011-10-28 05:37:36 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 970342 970342 0 0
# compatibility_mode=5893 16776574 100 94 9507339 71385726 0 0
# compatibility_mode=8192 67108863 100 0 223379 223379 0 0
# scanned=453528
# found=2
# cleaned=0
# scan_time=17180
C:\Users\Moe\Downloads\mtxl1571_fullsetup.rar probably a variant of Win32/Agent.CKQSQTE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\1415e7d.msi a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I

Mach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

irgendwie will er nicht "normal" antworten, pack es als Anhang ran.

Zitat:

F:\bücher\L0n3ly_Plan3t_downarchive

Wo hast du das denn her?

Die habe ich mir rutnergeladen. Bin mir sicher, das das in der SChweiz nicht verboten ist!
Wenn ich falsch liege, sorry, dann löcshe ich sie wieder.. aber da da ja offewnichtrlich nen Virus / Trojaner dranhängt...

Mach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Der neue Scan..
Was stellt man eigentlkich mit den befehlen für den custum scan ein, die du immer schreibst?
Was mir nocxh aufgefallen ist... wenn man mit einem anti Malwareprogram oder so die Platte checkt, blockiert Antivir sehr oft den Autorun...

die Datei

Zitat:

PRC - [2011.10.17 08:42:40 | 003,074,040 | ---- | M] (Emsi Software GmbH) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe

PRC - [2011.10.11 14:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

Diese beiden Virenscanner gehen auf keinen Fall beide zusammen. Deinstalliere bitte erstmal beide - wenn wir durch sind hier, kannst du wieder einen installieren.

Zitat:

Zitat von cosinus

Diese beiden Virenscanner gehen auf keinen Fall beide zusammen. Deinstalliere bitte erstmal beide - wenn wir durch sind hier, kannst du wieder einen installieren.

muss ich den otl scan nochmal machen? den emsi hab ich eigentlich aus dem Autostart genommen... stört der dann auch?
Ah und soll ich wirklich beide sperren.. der Antivir blockt ja dauernt den Autostart der platten, wo der virus drauf ist, erstaunlich häufig.

Du sollst nicht beide sperren sondern zumindest Emsisoft A-Squared deinstallieren, AntiVir kann erstmal bleiben.

hey..
Sorry für die Verspätung.. hab ich gemacht.. soll ich den Scan wiederholen?

Ja bitte, einen neuen CustomScan